Nel report “June 2020 Most Wanted Malware” di Check Point Research (link a fondo articolo) la notizia del ritorno di Phorpiex. Una botnet già piuttosto nota agli addetti ai lavori, tornata operativa su larga scala nel mese di giugno con l’obiettivo di aiutare i cybercriminali nella distribuzione dei malware e nella conduzione delle campagne di spam.
Chi si rivede: la botnet Phorpiex
In passato ha già fatto parlare di sé per attività legate al fenomeno sextortion, ma nei trenta giorni che ci siamo da poco lasciati alle spalle è risultata essere molto più attiva rispetto a quanto rilevato in maggio. Il numero di attacchi perpetrati è stato tanto elevato da arrivare a interessare il 2% delle organizzazioni prese in esame, passando dal tredicesimo al secondo posto delle campagne malware identificate con maggiore frequenza del mese.
Sul gradino più alto del podio Agent Tesla, un RAT (remote access trojan) che sottrae informazioni e contenuti dai dispositivi delle vittime. Il terzo posto è invece stato assegnato a XMRig, dedicato al cryptomining.
Tra i compiti di Phorpiex quello di diffondere il codice maligno Avaddon attraverso un archivio ZIP corrotto allegato a messaggi email creati ad hoc con una emoji (“;)”) come oggetto. Una volta aperto il file scatta l’azione del ransomware che blocca l’accesso a quanto si trova nel disco fisso chiedendo il pagamento di un riscatto per ripristinarlo.
In passato nota anche come Trik, la botnet è stata impiegata negli anni scorsi per distribuire altre minacce informatiche come GandCrab e Pony oltre che per eseguire il mining delle criptovalute sulle macchine compromesse.