ボットの配布とインストール
Phorpiex マルウェアの感染は、ドロッパーの配信から始まります。 このドロッパーは、次のようなさまざまな方法でシステムに配布されます。
- 感染したUSBドライブ
- インスタント メッセージングを介したフィッシング
- マルウェア、フリーウェア、不要なプログラムによってドロップされる
- フィッシングメール
- 正規のソフトウェアを配信していると主張するサイトからのダウンロード
- 自己拡散用のワームモジュールを内蔵
ドロッパーがシステムにインストールされて実行されると、Phorpiexコマンド&コントロール(C2)サーバーと通信します。 これらのサーバーは、Phorpiex マルウェアと、特定の機能を提供する追加のアップロードまたはモジュールを配信します。 Twizt と呼ばれる 2021 年の新しいアップデートにより、アクティブな C2 サーバーが存在しない場合でもマルウェアがピアツーピア (P2P) モードで動作できるようになります。
ボットネットが収益化される主な方法
Phorpiexボットネットは、主にオペレーターに収益をもたらす手段として使用されます。 ボットネットのリーチを収益化する方法には、次のようなものがあります。
- 恐喝: Phorpiex ボットネットは、不正、詐欺、不正な行為を実行するために使用されています。 感染したシステムは、攻撃者が所有していると思われる危険なビデオを公開しないことと引き換えに、身代金を強要するスパムメールを送信します。
- クリプトジャッキング: クリプトジャッキングマルウェアは、感染したコンピューターの計算能力を利用して、攻撃者に代わって暗号通貨をマイニングします。 これにより、攻撃者は、インフラや電気代を支払うことなく、プルーフ・オブ・ワークのブロックチェーン上に新しいブロックを作成することで報酬を得ることができます。
- 暗号通貨のクリッピング: ブロックチェーン上で暗号通貨を転送するには、ユーザーは16進数でエンコードされた大きな値である宛先アドレスを入力する必要があります。 これらの簡単に識別できるアドレスは、通常、システムクリップボードを使用してコピー&ペーストされます。 暗号通貨クリッパー マルウェアは、攻撃者が制御するアドレスを意図したターゲットのアドレスに置き換え、支払いをボットネット オペレーターにリダイレクトします。
- マルウェアの配信: Phorpiex ボットネットは、感染したシステムにさまざまなマルウェアを配信するために使用されています。 これにより、ボットネットオペレーターは、侵害されたシステムへのアクセスを販売することで、Phorpiexのリーチを収益化することができます。
- ランサムウェア攻撃: Phorpiex ボットネットは、他のサイバー攻撃者のマルウェアを配信することに加えて、ランサムウェア攻撃を開始するためにも使用されています。 これにより、ボットネットオペレーターは身代金を強要して暗号化されたデータへのアクセスを復元することでお金を稼ぐことができます。
- データの盗難: Phorpiexは、感染したコンピューターからデータを盗み出し、盗み出すことが増えています。 この情報は、他のシステムやオンラインアカウントにアクセスしたり、詐欺や後続の攻撃を可能にするために使用される可能性があります。
Phorpiexの用途
Phorpiexは、大規模で定評のあるボットネットです。 その結果、マルウェアの配信やスパムメールの送信など、いくつかの異なる目的に使用されます。
マルウェア配信ボットネット
Phorpiex ボットネットは、さまざまなマルウェアの亜種を配信するために使用されています。 ボットネットによって配信されるマルウェアの種類には、次のようなものがあります。
- ランサムウェア
- 暗号資産マイニング
- スパムボット
- 情報窃取系(INFOSTEALER等)
追加のマルウェアを配信するこの機能により、Phorpiex は重大かつ危険な脅威になります。 ボットネットが感染したコンピュータに足場を築くと、複数の攻撃者にシステムへのアクセスが提供され、さまざまな種類のマルウェアに感染する可能性があります。
メーリングボットネット
Phorpiexボットネットのその他の主な用途は、メーラーとしてです。 Phorpiexは、次のようなさまざまなスパムメールを送信することが知られています。
- 恐喝とセクストーション
- マルウェアの配信
- フィッシング
Feedback