По сообщению Check Point Software Technologies, эксперты из команды Check Point Research (CPR) обнаружили новый вариант ботнета Phorpiex, который ранее был известен sextortion-вымогательствами и криптоджекингом. Новая версия, которую назвали Twizt, работает без управления командными серверами. Это значит, что каждый зараженный компьютер может расширить ботнет.

По оценкам CPR, Twizt уже смог украсть криптовалюту на сумму почти полмиллиона долларов методом криптовырезки. Новые возможности Twizt показывают, что ботнет может стать еще более устойчивым и опасным. Команда Check Point Research предупреждает всех владельцев криптовалюты, что им нужно более тщательно проверять, кому именно они ее отправляют.

Twizt использует метод криптовырезки – он крадет криптовалюту, заменяя в буфере обмена адрес кошелька жертвы своим адресом. В результате валюта попадают злоумышленникам. По данным CPR, с ноября 2020 по ноябрь 2021 г. боты Phorpiex перехватили 969 транзакций, похитив 3,64 биткойна, 55,87 эфира (Ethereum) и 55 тыс. долл. в токенах ERC20. Стоимость похищенных активов в текущих ценах составляет почти 0,5 млн долл. (чуть меньше 37 млн руб.). Несколько раз Phorpiex удавалось перехватывать транзакции на крупные суммы, самая большая из которых составила 26 Ethereum – около 7,7 млн руб.

Как отмечают в Check Point, новый вариант Phorpiex имеет три опасные особенности: во-первых, Twizt использует одноранговую сеть и может получать команды и обновления с тысяч других зараженных устройств. Одноранговый ботнет сложнее отключить и даже просто нарушить его работу. Благодаря этому Twizt более устойчив, чем предыдущие версии ботов Phorpiex. Во-вторых, как и старые версии Phorpiex, Twizt может украсть криптовалюту без взаимодействия с командным сервером. Поэтому ему легче обойти решения безопасности (например, межсетевые экраны). В-третьих, Twizt может работать с более чем 30 различными кошельками для самых разных криптовалют, включая Bitcoin, Ethereum, Dash, Monero. Атаки Twizt могут затронуть практически всех, кто использует криптовалюту.

Эксперты дают следующие рекомендации всем пользователям криптовалюты:

• Проверять адрес кошелька – при копировании и вставке адрес криптокошелька дважды проверять соответствие исходного и вставленного адресов.

• Делать тестовые транзакции – перед отправкой больших сумм в криптовалюте сначала отправить пробную транзакцию с минимальной суммой.

• Регулярно устанавливать обновления, поддерживать ОС в актуальном состоянии, не загружать ПО из непроверенных источников.

• Распознавать рекламу и избегать ее. CPR, в частности, обнаружил мошенников, использующих Google.Ads для кражи криптовалютных кошельков.

• Всегда дважды перепроверять URL-адреса.