Phorpiex僵尸网络背后的犯罪分子已经关闭了他们的业务,并将源代码放在暗网上出售。
9000美元即可购买源代码
安全公司Cyjax的专家注意到了由过去参与Phorpiex僵尸网络运营的网络犯罪分子在暗网上所发布的一则广告。
广告中表示,由于Phorpiex 的原作者和运营商已经离开了该项目,现在持有它的人没有兴趣继续运营,故将出售Trik(原作者名字)/Phorpiex(安全厂商命名)的源代码。
帖子中表示,只要9000美元即可购买源代码,并且可以进入该僵尸网络已经感染的所有系统。
并且,作者声称该恶意软件的主要僵尸程序和所有模块都是用C++编写的,因此都不会触发任何防火墙/UAC提示。
在CheckPoint恶意软件研究员Alexey Bukhteyev的帮助下,该广告现已确认是有效的。并且,证实了该僵尸网络的源代码以前未被出售过。
研究人员Bukhteyev还指出,即使僵尸网络的C&C服务器瘫痪了,只要购买了源代码就能建立新的服务器,并控制以前被感染的系统。
这对买方来说无疑很有吸引力,因为Phorpiex是一个加密劫持蠕虫,其目的是通过在主机上运行XMRIG矿机或将加密交易重定向到行为者控制的钱包来为其操作者赚钱。不过,这场极具诱惑力的投资也包含了高风险。
CheckPoint的一名研究员表示,该僵尸网络已经被分析师渗透,并被希望部署自己的有效载荷的第三方劫持。而且,Phorpiex自2021年7月6日以来一直处于休眠状态,它的地位以及活跃的感染数量也是未知。所以,并不能保证耗费资金并顶着法律风险去购买该源代码是值得的。
日薄西山的Phorpiex
Phorpiex的上一次活跃还是在今年5月。
当时微软警告说,该僵尸网络的进化发展使其能够携带更多的有效载荷并针对更多国家,并贴出了其与勒索软件团伙合作的证据,如现已不复存在的 "Avaddon",并推算该僵尸网络的利润大约为每天1300美元。
然而,这些辉煌的日子现在已经过去了。就现在的情况来看,只用9000美元就能把它们传给新的受益人的承诺是毫无说服力的。