Phorpiex僵尸網(wǎng)絡(luò)背后的犯罪分子已經(jīng)關(guān)閉了他們的業(yè)務(wù)，并將源代碼放在暗網(wǎng)上出售。

[[420463]]

9000美元即可購買源代碼

安全公司Cyjax的專家注意到了由過去參與Phorpiex僵尸網(wǎng)絡(luò)運(yùn)營的網(wǎng)絡(luò)犯罪分子在暗網(wǎng)上所發(fā)布的一則廣告。

廣告中表示，由于Phorpiex 的原作者和運(yùn)營商已經(jīng)離開了該項(xiàng)目，現(xiàn)在持有它的人沒有興趣繼續(xù)運(yùn)營，故將出售Trik(原作者名字)/Phorpiex(安全廠商命名)的源代碼。

Cyjax研究人員在Twitter上發(fā)布的暗網(wǎng)截圖

帖子中表示，只要9000美元即可購買源代碼，并且可以進(jìn)入該僵尸網(wǎng)絡(luò)已經(jīng)感染的所有系統(tǒng)。

并且，作者聲稱該惡意軟件的主要僵尸程序和所有模塊都是用C++編寫的，因此都不會(huì)觸發(fā)任何防火墻/UAC提示。

在CheckPoint惡意軟件研究員Alexey Bukhteyev的幫助下，該廣告現(xiàn)已確認(rèn)是有效的。并且，證實(shí)了該僵尸網(wǎng)絡(luò)的源代碼以前未被出售過。

研究人員Bukhteyev還指出，即使僵尸網(wǎng)絡(luò)的C&C服務(wù)器癱瘓了，只要購買了源代碼就能建立新的服務(wù)器，并控制以前被感染的系統(tǒng)。

這對買方來說無疑很有吸引力，因?yàn)镻horpiex是一個(gè)加密劫持蠕蟲，其目的是通過在主機(jī)上運(yùn)行XMRIG礦機(jī)或?qū)⒓用芙灰字囟ㄏ虻叫袨檎呖刂频腻X包來為其操作者賺錢。不過，這場極具誘惑力的投資也包含了高風(fēng)險(xiǎn)。

CheckPoint的一名研究員表示，該僵尸網(wǎng)絡(luò)已經(jīng)被分析師滲透，并被希望部署自己的有效載荷的第三方劫持。而且，Phorpiex自2021年7月6日以來一直處于休眠狀態(tài)，它的地位以及活躍的感染數(shù)量也是未知。所以，并不能保證耗費(fèi)資金并頂著法律風(fēng)險(xiǎn)去購買該源代碼是值得的。

日薄西山的Phorpiex

Phorpiex的上一次活躍還是在今年5月。

當(dāng)時(shí)微軟警告說，該僵尸網(wǎng)絡(luò)的進(jìn)化發(fā)展使其能夠攜帶更多的有效載荷并針對更多國家，并貼出了其與勒索軟件團(tuán)伙合作的證據(jù)，如現(xiàn)已不復(fù)存在的 "Avaddon"，并推算該僵尸網(wǎng)絡(luò)的利潤大約為每天1300美元。

然而，這些輝煌的日子現(xiàn)在已經(jīng)過去了。就現(xiàn)在的情況來看，只用9000美元就能把它們傳給新的受益人的承諾是毫無說服力的。