新的Phorpiex僵尸网络变种窃取了50万美元的加密货币

埃塞俄比亚、尼日利亚、印度、危地马拉和菲律宾的加密货币用户正成为名为Phorpiex僵尸网络的新变种的目标扭曲在过去一年中，这导致了价值50万美元的虚拟硬币被盗。

详细描述了这些攻击的以色列安全公司Check Point Research表示，最新的进化版本“使僵尸网络能够在没有活动[命令和控制]服务器的情况下成功运行”，并补充说，它支持不少于35个与不同区块链相关联的钱包，包括比特币、以太坊、Dash、Dogecoin、Litecoin、Monero、，Ripple和Zilliqa为加密盗窃提供便利。

Phorpiex又名Trik，因其性侵犯垃圾邮件和勒索软件活动以及加密劫持而闻名，这是一种利用目标设备（如计算机、智能手机和服务器）在未经其同意或知情的情况下秘密挖掘加密货币的方案。

它还因使用了一种名为“加密货币剪辑”的技术而臭名昭著，该技术涉及在交易过程中通过部署恶意软件来窃取加密货币，该恶意软件会自动用威胁参与者的钱包地址替换预期的钱包地址。Check Point表示，他们发现了60个独特的比特币钱包和37个Phorpiex使用的以太坊钱包。

当僵尸网络运营商关闭并将其源代码在2021年8月在一个黑暗的网络犯罪论坛上出售时，命令和控制（C＆C）服务器仅在两周后重新发布分发TwitZT，这是以前未被发现的有效负载，可以在对等模式下部署额外的恶意软件和功能。这样就不需要集中的C&；C服务器。

剪辑功能还有一个额外的优势，即一旦部署，即使在没有任何C&；C.服务器，并从受害者的钱包中提取资金。Check Point的Alexey Bukhteyev在一份报告中说：“这意味着每台受感染的计算机都可以充当服务器，向链中的其他机器人发送命令。”。“这些特征的出现表明僵尸网络可能会变得更加稳定，因此更加危险。”

已经在96个国家发现了感染Phorpiex的机器人，其中埃塞俄比亚、尼日利亚和印度居首位。据估计，僵尸网络还劫持了大约3000笔交易，总价值约为38比特币和133以太币。然而，值得注意的是，僵尸网络的设计目的是，如果被感染系统的区域设置默认为乌克兰，就停止其执行，这表明僵尸网络运营商来自东欧国家。

Bukhteyev说：“具有蠕虫或病毒功能的恶意软件可以在很长一段时间内自动传播，而不需要其创造者进一步参与。”。“在过去的一年里，Phorpiex收到了一个重要的更新，将其转变为一个点对点僵尸网络，允许在没有集中基础设施的情况下对其进行管理。C&C服务器现在可以更改其IP地址并发出命令，隐藏在僵尸网络受害者中间。”