Posté le janvier 24, 2020 à 16:31

LES HACKERS INFECTENT LES ORDINATEURS ET DEMANDENT AUX UTILISATEURS D’INSTALLER UN ANTIVIRUS

Les analystes de logiciels malveillants signalent que quelqu’un a détourné le réseau de zombies Phorpiex et avertit les utilisateurs. Leur disant qu’ils ont été infectés par un virus.

Mais il s’est avéré que le sabotage des opérations de Phorpiex se déroulait en réalité dans le monde réel, sur le système du client et non pas simplement sur une fenêtre contextuelle d’une machine virtuelle.  Yaniv Balmas, de Check Point’s Cyber Research, a déclaré que cela se passait réellement, car il a souligné qu’ils observaient de près la situation. Il a déclaré que les activités du groupe de hackers ont commencé il y a quelques heures.

M. Balmas a donné plusieurs raisons pour expliquer ce phénomène. Il a mentionné certains scénarios, tels qu’un logiciel malveillant rival sabotant Phorpiex, un chercheur vigilant essayant de résoudre la situation par lui-même, une action des forces de l’ordre, ou les opérateurs de logiciels malveillants quittant et arrêtant les opérations par eux-mêmes.

Un détournement: la cause la plus probable

Selon M. Balmas, la cause la plus probable pourrait être due à un détournement, si l’on se base sur les données du développeur de Phorpiex. Un autre analyste de logiciels malveillants a suggéré le même scénario.

Le développeur de Phorpiex a une forte concurrence dans le jeu du botnet, il ne surprendrait donc personne s’il essayait de lui causer des problèmes. Selon le deuxième analyste, qui a refusé de donner son nom, la raison du sabotage pourrait être due à la jalousie ou à quelque chose de similaire à cause du succès de Phorpiex.

Cependant, l’analyste a déclaré que le développeur de Phorpiex est négligent et extrêmement paresseux. Selon lui, n’importe qui pourrait détourner le botnet à cause de son système de commande et de contrôle simpliste basé sur l’IRC.

Certains réseaux de zombies touchés par une violation de données en 2018

Selon des chercheurs confirmés, le logiciel malveillant Phorpiex est opérationnel depuis plus de 10 ans. Mais il a subi une série d’attaques au cours de cette période. La plupart des violations ont été le résultat de la négligence du développeur et de son manque de sérieux pour protéger son système contre les attaques.

Il y a deux ans, le développeur a été négligent et n’a pas veillé à ce que le backend de commande et de contrôle du Botnet soit exposé en ligne. Mais les experts en sécurité ont réussi à récupérer environ 4,3 millions d’adresses électroniques avant que le groupe Phorpiex ne puisse s’infiltrer en utilisant des e-mails spam.

En ce qui concerne les réseaux de spam, Phorpiex est l’un des plus actifs. Le groupe Phorpiex mène ses activités en infiltrant des ordinateurs Windows en s’emparant des systèmes de robots spam pour diffuser d’énormes quantités de spam.

Ces courriels de spam infectent de nouveaux ordinateurs avec Phorpiex, ce qui maintient le réseau de botnets de spam en vie. Cependant, ils diffusent également des messages de spam personnalisés pour d’autres syndicats de cybercriminalité, ce qui permet à l’équipe de gagner de l’argent grâce à sa campagne.

Les activités et les profits futurs de Phorpiex sont menacés par les activités du groupe qui a détourné le botnet.

Pour une estimation du montant que le groupe Phorpiex a perdu, CheckPoint a révélé que le botnet a reçu environ 115 000 dollars en cinq mois. Ces revenus proviennent uniquement du spamming de masse utilisant les courriels d’extorsion.

Les e-mails proviennent de différents endroits et domaine

La fuite de 4,3 millions d’euros du serveur de commande et contrôle a été signalée par Vertek Corporation, une analyse de renseignements sur les menaces.

L’équipe de sécurité enquêtait sur une activité de logiciel malveillant qui distribue une version du cheval de Troie Trik. L’équipe de recherche a découvert que le cheval de Troie GanCrab et Trik téléchargeait généralement des fichiers malveillants qui s’infiltraient dans le système des utilisateurs via un serveur en ligne provenant d’une adresse IP.

Le chercheur a rapporté que le groupe qui a orchestré l’activité du logiciel malveillant a reconfiguré son serveur et a permis l’accès non autorisé à toute personne en ligne ayant une adresse IP. Il a découvert environ 2201 fichiers de test provenant d’un serveur qui contient environ 20 millions d’adresses électroniques chacun.

Le chercheur a déclaré à Bleeping Computer que le groupe à l’origine de cette opération avait mal configuré son serveur et laissé son contenu accessible à toute personne accédant directement à l’IP.

Le chercheur estime que les opérateurs du serveur ont utilisé les listes des destinataires pour fournir des informations et des données à d’autres cybercriminels.

Selon le chercheur, la liste des données a été retirée pour valider leur légitimité et leur caractère unique. Les chercheurs collaborent maintenant avec Troy Hunt, un chercheur en sécurité australien, pour savoir combien d’adresses e-mail ont été exposés et combien sont susceptibles d’être attaqués.

 Les adresses électroniques n’ont pas été tirées d’un endroit particulier. Il s’agit d’environ 4,5 millions d’adresses collectées de partout et de différentes adresses IP. Les adresses électroniques provenaient également de différents domaines, de .com à .gov, et d’autres domaines d’entreprises privées.