Phorpiex-Botnet keert harder terug dan ooit tevoren

Waar het Phorpiex-Botnet eerder juist werd afgesloten, lijkt hij nu weer opnieuw verschenen te zijn. De malware is nu verder ontwikkeld, met een nieuw peer-to-peer (P2P) commanco- en controle-infrastructuur. Dit maakt het allemaal niet makkelijker om het Botnet op te sporen.

Al in 2016 opgespoord

In 2016 verscheen het botnet als eerste. In een relatief korte tijd wist de malware zich in meer dan 1 miljoen wereldwijde apparaten te nestelen.

De malware is zo geprogrammeerd dat het inkomsten genereert voor zijn ontwikkelaars door crypto-adressen die naar het Windows-klembord zijn gekopieerd, om te wisselen met adressen onder hun controle of door e-mails te spammen om mensen bang te maken om een afpersingsverzoek te betalen.

Na de 5 jaar dat het botnet gelanceerd en ontwikkeld is, sloten de Phorpiex-operators hun infrastructuur echter af. Nu lijken ze de broncode van de malware te willen verkopen op een hackforum. Dit werd gedeeld op het sociale medium van Twitter.

The source code for the Phorpiex botnet is being sold on the darknet…👀 pic.twitter.com/GxBsnUacvh

— Cyjax (@Cyjax_Ltd) August 27, 2021

Peer-to-Peer Systeem

Nu de malware verder ontwikkeld is, kan het botnet nu werken zonder gecentraliseerde commando- en controleservers. In plaats van deze servers heeft de nieuwe malware-variant een peer-to-peer systeem toegevoegd. Hiermee kunnen de verschillende geïnfecteerde elektronische apparaten vanaf nu opdrachten aan elkaar doorgeven.

Dit houdt in dat iedere geïnfecteerde computer theoretisch als server kan gaan dienen én andere bots in de keten opdrachten kunnen geven. Deze nieuwe P2P-infrastructuur stelt de operators ook in staat om het IP-adres van de belangrijkste C2-servers indien nodig te wijzigen, terwijl ze verborgen blijven in een zwerm geïnfecteerde Windows-machines.