Ботнет Twizt: украдены сотни транзакций криптовалют

Команда Check Point Research (CPR) обнаружила новый вариант ботнета Phorpiex. Ранее он был известен sextortion-вымогательствами и криптоджекингом. Его новая версия Twizt работает без управления командными серверами. Это значит, что каждый зараженный компьютер может расширить ботнет.

По оценкам Check Point Research (CPR), Twizt уже смог украсть криптовалюту на сумму почти полмиллиона долларов методом криптовырезки. Новые возможности Twizt показывают, что ботнет может стать еще более устойчивым и опасным. Команда Check Point Research предупреждает всех владельцев криптовалюты, что сейчас им нужно еще более тщательно проверять, кому именно они ее отправляют. По данным компании, злоумышленники смогли перехватить уже 969 транзакций.

Twizt использует метод криптовырезки — он крадет криптовалюту, заменяя в буфере обмена адрес кошелька жертвы своим адресом. В результате валюта попадают злоумышленникам.

С ноября 2020 по ноябрь 2021 года боты Phorpiex перехватили 969 транзакций. Они похитили 3,64 биткойна, 55,87 эфира (Ethereum) и 55 000 долларов в токенах ERC20. Стоимость похищенных активов в текущих ценах составляет почти полмиллиона долларов США (чуть меньше 37 миллионов рублей). Несколько раз Phorpiex удавалось перехватывать транзакции на крупные суммы. Самая большая из них составила 26 ETH (Ethereum) — около 7,7 миллионов рублей.

Ботнет Twizt: украдены сотни транзакций криптовалют. Рис. 1

Распределение жертв по странам

«Новый вариант Phorpiex обладает тремя опасными особенностями, — рассказывает Александр Чайлитко, менеджер по исследованиям и инновациям в области кибербезопасности Check Point Software. — Во-первых, Twizt использует одноранговую сеть и может получать команды и обновления с тысяч других зараженных устройств. Одноранговый ботнет сложнее отключить — и даже просто нарушить его работу. Благодаря этому Twizt более устойчив, чем предыдущие версии ботов Phorpiex. Во-вторых, как и старые версии Phorpiex, Twizt может украсть криптовалюту без взаимодействия с командным сервером. Поэтому ему легче обойти решения безопасности (межсетевые экраны, например). В-третьих, Twizt может работать с более чем 30 различными кошельками для самых разных криптовалют, включая Bitcoin, Ethereum, Dash, Monero. Twizt обладает огромными возможностями для атак. Затронуты могут быть практически все, кто использует криптовалюту. Мы рекомендуем всем пользователям криптовалюты дважды проверять адреса кошельков, которые они копируют и вставляют, потому что они вполне могут случайно отправить свою криптовалюту киберпреступникам».

Похожие статьи