This post is also available in: Português
Famoso por espalhar ransomwares, Phorpiex intriga até mesmo a Microsoft por sua persistência e inteligência em driblar defesas.
Tão antigo quanto perigoso, o botnet de malware Phorpiex está à espreita na Internet há anos, e é usado para entregar principalmente ransomwares e spams. Entretanto, seu potencial nunca foi explorado ao máximo possível, até como estratégia para evitar tantos holofotes e tentar diminuir a chance de ser pego. Essa realidade, porém, começou a mudar.
Agora, a equipe de segurança da Microsoft está examinando-o mais de perto. O botnet é conhecido por usar worms antigos e eficientes, que se espalham por meio de pendrives e aplicativos de mensagens instantâneas. Contudo, começou a diversificar sua infraestrutura nos últimos anos para se tornar mais resiliente e entregar cargas úteis mais perigosas. O direcionamento geográfico do botnet para distribuição e instalação de bots também se expandiu; a atividade mais recente mostra uma mudança para um padrão mais global, chegando a 160 países.
Entretanto, a vida do Phorpiex não foi fácil. No início de 2020, foi atacado depois que alguém aparentemente sequestrou seu back-end e começou a desinstalar a funcionalidade de spam de hosts infectados. O sequestrador até desenvolveu um pop up alertando os usuários para instalar antivírus e atualizar seus computadores, como meio de diminuir sua eficácia e chamar atenção para a sua presença – até então oculta.
Mais tarde, especificamente em novembro do ano passado, a empresa de segurança Check Point observou que o Phorpiex estava distribuindo o ransomware Avaddon. Trata-se de um malware “alugado” para outros grupos do crime cibernético, interessados em acessos iniciais já estabelecidos.
“O Phorpiex é um dos botnets mais antigos e persistentes, e tem sido usado por seus criadores por muitos anos para distribuir outras cargas de malware, como o GandCrab, o próprio Avaddon até mesmo em golpes de sextortion”, observaram os analistas de malware da Check Point.
Microsoft de olho
Uma razão pela qual a empresa criadora do Windows está se interessando pelo Phorpiex é que ele agora é capaz de desativar o Microsoft Defender, conseguindo então manter sua persistência nas máquinas alvo.
“Isso inclui a modificação de chaves de registro para desativar a funcionalidade ou pop-ups de firewall e antivírus, substituindo as configurações de proxy e navegador, configurando o carregador e os executáveis para serem executados na inicialização e adicionando esses executáveis às listas de aplicativos autorizados”, observa a Microsoft em um comunicado.
Os clientes corporativos podem evitar essas tentativas com mais facilidade, habilitando a proteção contra adulteração no Microsoft Defender for Endpoint, o recurso de segurança avançado baseado em nuvem da Microsoft, que reverterá automaticamente as alterações feitas pelo bot. Ainda não há informações oficiais detalhando se a mesma tática tem 100% de eficácia em usuários domésticos.
Assim, a Microsoft observa que, de dezembro de 2020 a fevereiro de 2021, o Phorpiex foi encontrado em 160 países. “A combinação da ampla variedade de vetores de infecção e resultados é preocupante. Por muitos anos, o Phorpiex manteve uma infraestrutura interna consistente usando domínios semelhantes e mecanismos de comando e controle”, observam os pesquisadores de ameaças da Microsoft.
Operadores do Phorpiex já foram vistos exigindo pagamento principalmente em criptomoedas como Bitcoin e Dash. O grupo ganhou US$ 13.000 em apenas 10 dias usando truques de engenharia social, como alegar em mensagens que havia bugs de segurança no Zoom. Os golpistas informaram que o bug lhes permitia capturar material de vídeo, que usaria para extorquir as vítimas.
O mal de carona
Entre os vários problemas trazidos pelo Phorpiex, a maior ameaça talvez seja a distribuição de ransomwares. O Avaddon, por exemplo, realiza verificações regionais e de idioma antes de ser executado, para garantir que apenas as regiões desejadas sejam atingidas, de acordo com a Microsoft.
Nesse contexto, o Avaddon parece ser mais um tipo de ransomware automatizado do que um operado por humanos. E, em geral, exige um resgate de US$ 700 em Bitcoins. Seja qual for o valor, se o seu “veículo” se torna mais eficiente, os cuidados devem ser redobrados. Afinal, até mesmo a Microsoft está se mobilizando contra o Phorpiex, levando a crer que é de fato uma ameaça significativa.
This post is also available in: Português
