Menu Fermer

Le juteux botnet Phorpiex et TrikLoader

En regardant mon fil d’actu, je suis tombé sur une news sur le botnet Phorpiex.
Il s’agit d’une vielle connaissance, puisqu’il existe un article sur le site assez ancien de 2011 : Backdoor IRC (snk) se propage par Skype (Win32.Phorpiex)

L’étude du malware Phorpiex de CheckPoint est assez complète et intéressante.
En effet le malware Phorpiex est assez polyvalent.

Voici un résumé autour du botnet Phorpiex.

Le juteux botnet Phorpiex et TrikLoader

Les anciennes variantes de Phorpiex

En 2011, Phorpiex était assez complet au niveau des fonctionnalités.
En effet, le malware pouvait envoyer des mails de SPAM, télécharger et installer d’autres malwares.
Il pouvait aussi utiliser les messageries instantanées comme Skype pour se distribuer à la manière d’un ver informatique.

Le ver Phorpiex distribué par Skype

La communication entre le PC infecté et le serveur de contrôle se faisait au moyen du protocole IRC.
Il s’agit d’un protocole ancien de chat où des personnes se connectent à un serveur puis une salle (channel) pour discuter.
Ici les bots se connectent à un channel particulier contrôlé par le botmaster.
Ce dernier est reconnu par les malwares qui envoie des ordres aux machines infectées.

Par exemple ci-dessous on peut voir le pseudo (nickname) avec FRA pour indiquer que la machine infectée est en France.

Exemple de Backdoor IRC

Puis on joint le channel #b, #ss et #nc.
A chaque fois, on reçoit un ordre avec .d pour download suivi du lien WEB masqué.

Exemple de Backdoor IRC

Déjà à l’époque, les Backdoor IRC avaient disparues car ce mode de communication était facile à tracer.
Bien que les serveurs IRC étaient modifiés pour ne pas lister tous les bots et ainsi ne pas connaitre la taille du botnet.
Ils diffusaient quand même beaucoup d’informations.
De plus la communications étaient rarement chiffrée.

Reste pas moins, que Phorpiex parvenait à atteindre une taille assez conséquente.

Pour bien comprendre le contenu de cet article, nous vous conseillons de lire :

Architecture de Phorpiex

Phorpiex (Ake Trik IRCBot) semble continuer d’utiliser IRC mais se base maintenant sur un autre malware pour communiquer.
Dès l’infection, il installe le Trojan TrikLoader aka Tldr.
Ce dernier utilise le protocole HTTP pour communiquer, comme beaucoup de Trojan.
En clair donc Phorpiex ne sert juste de tremplin pour le malware Tlr.

D’après CheckPoint, d’autres botnets comme Smoke Loader l’installent.
Enfin des campagnes d’infection par le Rig WebExploit Kit alimentent aussi le botnet. Plus d’informations : Les attaques par Drive-By-Download
Ici le botmaster paie ces sources.

Ainsi on peut résumer la structure par le schéma suivant.

La structure du botnet Phorpiex

Tldr possède des modules de ver VNC et NetBIOS.
L’objectif est d’infecter un maximum de PC pour alimenter le botnet.

Enfin l’objectif final des opérateurs de Phorpiex est de réaliser des bénéfices, généralement par crypto-monnaie.
Les principales manières de monétiser le botnet:

La communication du botnet

Tous les modules Phorpiex utilisent une liste codée en dur d’adresses IP et de noms de domaine pour la communication C&C.
On est loin de l’utilisation de DGA pour les botnets sophistiqués.
Toutefois l’utilisation de nom de domaine permet de regagner le contrôle du botnet lorsqu’un serveur ou IP tombe.
La liste des noms de domaine est mise à jour périodiquement.
Lors de la surveillance de la campagne Phorpiex en 2019 par CheckPoint, sur 4 000 échantillons différents de Tldr, environ 300 configurations et 3297 noms de domaine et adresses IP ont été utilisées.
Enfin Tldr utilise les mêmes serveurs C&C Trik IRCbot.
Le schéma suivant récapitule l’infrastructure observée.

Infrastructure du botnet Phorpiex

Certaines de ces IP se trouvent en Russie, probablement liés à des hébergeurs BulletProof.

Monétisation du botnet

Comme tout botnet, le but est de faire de l’argent.
Pour ce faire, plusieurs méthodes sont possibles.
Voici celles utilisées par Phoerniex et Tldr.

Distribuer des ransomwares

Le bot Phoerniex peut se monétiser dans l’installation de ransomware.
Le botmaster s’inscrit au service d’affiliation d’un ransomware et gagne de l’argent sur le volume d’infection.
Plus d’infos : Les Malwares et virus : pourquoi et dans quel but ?

Ainsi avant l’arrêt de GandCrab, le botnet a pu distribuer ce dernier.
Cela n’a en fait rien de nouveau, car si on regarde le précédent article, il pouvait installer beaucoup de malwares.
La monétisation par les rançongiciels mais aussi scarewares étaient déjà utilisées : Cerber ou GPCode.

Distribution d'autres malwares

Spam pour du sexthorsion

Le Sexthorsion actuel consiste en des mails faisant croire au piratage de votre PC.
L’attaquant vous aurait alors filmé en train de vous masturber devant des sites pornos.
Enfin il vous menace de divulguer cela à vos amis et vous propose d’acheter son silence.
Tout ceci est faux.
L’article suivant détaille ces attaques.

Tlr et Phoernix possède des modules d’envoi de mail de SPAM.
Rien de nouveaux puisque par le passé c’était déjà le cas.
Pour ce faire, le malware télécharge la liste des adresses emails, les modèles de mail.
Enfin il envoie les spam en continue.

D’après CheckPoint : le spam contient un grand nombre de courriers indésirables – jusqu’à 30 000 par heure. Chaque campagne de spam peut toucher jusqu’à 27 millions de victimes potentielles.

Les adresses de l’éméteur sont assez caractéristiques avec des chiffres à la fin.

Ce qui nous donne cet exemple.

Enfin l’envoie est faite à partir d’un PC infecté au Brésil.

Crypto-monnaie

Phorpiex possède ensuite un module XMRig pour miner.
Le paiement se fait en Monero (XMR).
Les serveurs pour miner sont ceux du C&C de Phorpiex.
Enfin c’est aussi sur ces serveurs que sont hébergés les mails du spam sexthorsion.

Le Trojan Trik possède aussi un module pour voler les portefeuilles de Crypto-Monnaie : Crypto-clipping
Au départ en Aout 2016, il ne volait que les portefeuilles BitCoin.
Depuis les fonctions se sont élargies au crypto-monnaie Ethereum, Litecoin et aussi Perfectmoney.

Taille et localisation du botnet

Grâce aux interrogations faites par le botnet, CheckPoint a pu dresser une estimation de la taille du botnet.
Au cours des deux derniers mois, nous avons plus de 1 000 000 hôtes uniques. À tout moment, 15 000 robots en moyenne sont en ligne et jusqu’à 100 000 sont actifs quotidiennement.

Taille du botnet Phorpiex

Voici la répartition géographique.
La plupart se trouve en Asie dans des pays où la population est moins éduquée face aux malwares.

Répartition géographique du botnet Phorpiex

Un botnet juteux

Voici la réparation des gains selon les trois méthodes de monétisations.
Le sexthortion semble être la méthode la plus rentable, suivi par le crypto-jacking.
Enfin le crypto-clipping arrive bien derrière.

L’estimation du gain est d’environ 500 000 dollars par an.

Estimation des gains par type de monétisation

Ajoutons à cela la monétisation par l’installation de ransomware dont le revenue est indéterminée.
Enfin le botmaster doit payer les sources Smoke Loader et du Rig WebExploit.
Les prix varient selon la localisation géographique de 100$ à 1000$ pour 1000 infections.
En Asie, là où le botnet est le plus actif, la moyenne est de 1000$

Liens

L’article complet sur les botnet : Les botnets : réseau de machines infectées

Enfin les liens généraux sur les malwares.

Sources : Phorpiex Breakdown