【安全资讯】Twizt僵尸网络新变种已窃取50万美元的加密资产

引言

研究人员监测到了Phorpiex僵尸网络的新变种Twizt，此变种可以在没有活动的C2服务器的情况下运行。在过去一年内，Phorpiex僵尸网络劫持了 969 笔交易，窃取了 3.64 个比特币、55.87 个以太币和 55,000 美元的 ERC20 代币，价值近 50 万美元。

简况

Phorpiex也称为 Trik，于 2016 年首次出现，该僵尸网络可以将复制到 Windows 剪贴板的加密货币地址与其控制的地址进行交换从而获取收入，或通过发送性勒索电子邮件以获取赎金。经过五年多的发展，Phorpiex 运营商关闭了他们的基础设施，并试图在黑客论坛上出售僵尸网络的源代码。但该僵尸网络于今年9月重启，并分发了一种名为“Twizt”的新恶意软件变种，该变种允许僵尸网络在没有集中命令和控制服务器的情况下运行。

Twizt添加了一个P2P命令和控制系统，如果静态命令和控制服务器离线，该系统允许各种受感染的设备相互转发命令。这种新的 P2P 基础设施还允许运营商根据需要更改主要 C2 服务器的 IP 地址，同时隐藏在受感染的 Windows 机器群中。Twizt 还可以通过硬编码的基本 URL 和路径列表或在收到来自 C2 服务器的相应命令后下载额外的有效载荷。

Twizt变体中包含的新功能包括：

• P2P操作模式（无 C2）。
• 数据完整性验证系统。
• 带有两层 RC4 加密的自定义二进制协议（TCP 或 UDP）。

验证数据完整性的操作如下图：

2021 年，研究人员在 96 个国家或地区发现了 Phorpiex 的感染活动，大多数受害者位于埃塞俄比亚、尼日利亚和印度。该变种在过去一年中盗窃了价值 500,000 美元的虚拟货币。

总计

Phorpiex 僵尸网络发展其代码以使用新的P2P命令和控制功能，这表明该恶意软件仍在积极开发中。