Twizt – Phorpiex botnet
A CheckPoint kutatói szerint a Phorpiex botnet új, Twizt variánsa aktív C2 szerverek nélkül és peer-to-peer módban is képes működni. Ez lehetővé teszi, hogy könnyen megkerülje a biztonsági eszközöket.
A fő tevékenysége a kriptótárcák kifosztása, amelyet úgy ér el, hogy az utalások során lecseréli a tárcák címeit a Twizt üzemeltetőinek címére, amire eddig 969 esetben találtak példát a kutatók. Ezzel a módszerrel a 55,87 Ethert, 3,64 Bitcoint és 55 000 dollárt loptak el ERC20 tokenből, nagyságrendileg félmillió dollár értékben, de 30 különböző kriptovaluta pénztárcát képesek kezelni a támadók.
Az elmúlt néhány hónapban az új támadásokat 96 országban azonosították. A CheckPoint kutatói szerint a botnet üzemeltetői valószínűleg Ukrajnából származnak.
A CheckPoint kutatói megosztják az eddig azonosított IoC-kat, javaslatokat tesznek a Twiztbotnet hatásainak csökkentésére és megosztják az eddig azonosított walletek adataiat.