Новости Фишинговая эпидемия Phorpiex возвращается: коллаборация с LockBit сделала атаки ещё опаснее

NewsMaker

I'm just a script
Премиум
14,589
22
8 Ноя 2022
Целью злоумышленников стал весь земной шар, без каких-либо исключений.


ium5jfmlyxa9fl4pcu2994mco6kcrvqr.jpg


С апреля этого года через ботнет Phorpiex были разосланы миллионы фишинговых писем в рамках масштабной кампании с использованием вымогательского ПО LockBit Black. Об этом Для просмотра ссылки Войди или Зарегистрируйся Центр интеграции кибербезопасности и коммуникаций Нью-Джерси (NJCCIC).

Злоумышленники чаще всего отправляют письма с темами «your document» и «photo of you???» от имени «Jenny Brown» или «Jenny Green». Вложения содержат ZIP-архив с исполняемым файлом, который при запуске устанавливает LockBit Black на системы получателей, шифруя все их данные.


Phishing-email-sample.png


LockBit Black, используемый в этой атаке, вероятно, создан на основе LockBit 3.0, утекшего в сеть в сентябре 2022 года. Однако текущая кампания не связана с оригинальной группировкой LockBit.

Письма отправляются с более чем 1500 уникальных IP-адресов по всему миру, включая Казахстан, Узбекистан, Иран, Россию и Китай.

Атака начинается с открытия получателем вредоносного ZIP-архива и запуска исполняемого файла. Этот файл загружает LockBit Black из инфраструктуры ботнета Phorpiex и выполняет его на системе жертвы. Вымогательское ПО крадёт конфиденциальные данные, завершает работу некоторых системных служб и шифрует файлы.

Компания Proofpoint , занимающаяся расследованием этих атак с 24 апреля, Для просмотра ссылки Войди или Зарегистрируйся что злоумышленники нацелены на компании в различных отраслях по всему миру. Несмотря на невысокую сложность операции, её масштаб и использование вымогательского ПО как начальной загрузки качественно выделяют эту вредоносную кампанию.

«С 24 апреля и в течение недели Proofpoint наблюдала масштабные кампании с миллионами сообщений, распространяемых через ботнет Phorpiex и доставляющих LockBit Black», — заявили исследователи Proofpoint. «Это первый случай, когда мы наблюдаем такие объёмы доставки LockBit Black через Phorpiex».

Ботнет Phorpiex, также известный как Trik, активен уже более десяти лет. Изначально это был червь, распространявшийся через USB-устройства, чаты Skype и Windows Live Messenger, а затем превратился в троян, контролируемый через IRC и распространяющий спам.

Со временем ботнет существенно увеличился количественно, контролируя более миллиона заражённых устройств, однако затем его инфраструктура была отключена, после чего исходный код проекта Для просмотра ссылки Войди или Зарегистрируйся Причиной продажи один из авторов ботнета назвал смещение интересов разработчиков, более незаинтересованных в поддержке и развитии Phorpiex.

Ранее ботнет Phorpiex также Для просмотра ссылки Войди или Зарегистрируйся для рассылки миллионов писем с угрозами и спамом, а также Для просмотра ссылки Войди или Зарегистрируйся заменяющего криптовалютные адреса в буфере обмена Windows на контролируемые злоумышленниками.

Для защиты от фишинговых атак NJCCIC рекомендует использовать стратегии снижения риска, решения для защиты конечных точек и фильтрацию электронной почты.
 
Источник новости
www.securitylab.ru

Похожие темы