Si chiama Phorpiex (altrimenti nota come Trik) la botnet già attiva da una decina d’anni che è stata recentemente “aggiornata” dai criminal hacker e ora include un bot di spam progettato per utilizzare i computer già compromessi come proxy per inviare oltre 30.000 e-mail di sextortion all’ora, senza che i proprietari dei computer infetti ne siano a conoscenza.
La botnet Phorpiex consente già ai criminal hacker di controllare circa 450.000 computer in tutto il mondo utilizzati per diffondere ransomware e cryptominer. Con la nuova variante i malviventi possono ora sfruttarli anche per inviare e-mail di sextortion a milioni di persone innocenti.
Le attività malevoli della botnet sono state rilevate dai ricercatori di sicurezza di CheckPoint, secondo i quali il malware Phorpiex è la causa principale del notevole incremento di segnalazioni relative ai tentativi di frode online con cui i criminal hacker tentano di estorcere denaro alle loro vittime mediante ricatti sessuali effettuati attraverso finte e-mail minatorie o sui social network.
Indice degli argomenti
I dettagli tecnici della botnet Phorpiex
Dall’analisi pubblicata dai ricercatori di CheckPoint si evince che il modulo spambot di Phorpiex è stato progettato per scaricare l’elenco degli indirizzi e-mail dei suoi bersagli da un server di comando e controllo remoto e utilizza una semplice implementazione del protocollo SMTP (Simple Mail Transfer Protocol) per inviare e-mail di sextortion.
Una volta installato, il modulo spambot si collegherà ai server C&C del malware e tenterà di scaricare diversi database contenenti ciascuno fino a 20.000 indirizzi e-mail rubati. In alcune di queste campagne di spam sono stati individuati da 325 a 1.363 archivi di indirizzi di posta elettronica compromessi su un singolo server di comando e controllo: in questo modo, i criminal hacker sono in grado di sfruttare un PC infetto per produrre fino a 30.000 e-mail di spam all’ora e inviarle a 27 milioni di potenziali vittime della truffa del sextortion.
Un esempio di e-mail di sextortion diffusa dai criminal hacker utilizzando la botnet Phorpiex.
Inoltre, in alcune delle campagne malevoli sono stati utilizzati anche alcuni database contenenti le password associate agli indirizzi di posta elettronica compromessi e rubate in precedenti data breach. Queste password vengono aggiunte alle e-mail estorsive per aggiungere ulteriore legittimità alle rivendicazioni dei criminal hacker.
Il business “facile” dei ricatti sessuali
Monitorando le e-mail di sextortion distribuite mediante la botnet Phorpiex, i ricercatori di Check Point sono riusciti a calcolare il guadagno ottenuto dai criminal hacker a seguito dei ricatti sessuali alle loro vittime: dall’aprile 2019, i ricercatori hanno monitorato 74 indirizzi bitcoin e hanno registrato un totale di 157 pagamenti per un totale di 11.99545 bitcoin. Si tratta di circa 96mila dollari, ovvero circa 16.000 dollari al mese.
Una cifra relativamente bassa rispetto, ad esempio, ai 287.499 dollari di riscatto ottenuti in sole 72 ore dai criminal hacker che hanno diffuso il ransomware Sodinokibi.
C’è da dire, però, che la nuova campagna di sextortion non costa praticamente nulla agli attori della minaccia in quanto sfruttano una botnet già attiva che consente loro di “dedicarsi” ad attività sicuramente più redditizie come la diffusione di ransomware o cryptominer, assicurandosi allo stesso tempo un flusso costante di entrate.
