«Please install AntiVirus Software and update your computer!». Esa es la ventana emergente que han empezado a ver de pronto en sus pantallas usuarios de todo el mundo, unidos todos ellos por una característica común: sus equipos eran ‘PCs zombies’ de Phorpiex, una de las botnet más veteranas y activas en la industria de la difusión de campañas masivas de spam.
Lo que los investigadores de ciberseguridad de la compañía Check Point interpretaron en primer lugar como una broma pasada, quizá incluso dirigida contra ellos en concreto (monitorizan de cerca esta clase de malware en sus laboratorios), en realidad se estaba mostrando a numerosos usuarios de Windows normales y corrientes. Y lo que es más increíble: el spam-bot presente en los equipos infectados se estaba desinstalando solo.
Alguien ha desmontado una infraestructura cibercriminal muy rentable
Phorpiex (también conocida como Trik) se expande gracias al uso de técnicas de phishing, con las que consigue infectar equipos mediante un gusano, que luego utiliza como puerta trasera para distribuir otras clases de malware. Recientemente sabíamos que esta botnet ha permitido estafar a más de 100.000 usuarios desde abril a diciembre, gracias a su capacidad para enviar aproximadamente 30.000 correos electrónicos de sextorsión (o extorsión sexual) cada hora.
La conclusión tras conocer los hechos de las últimas horas es que, o bien los operadores del malware han decidido abandonar el Lado Oscuro y se han despedido con una buena acción, o bien alguien ha secuestrado la infraestructura de la botnet Phorpiex (es decir, el control de los miles de PCs zombies infectados) y ha decidido sabotear a sus creadores. ¿Un hacker independiente respetuoso de la ley? ¿Un grupo cibercriminal rival?
ZDNet se hace eco de un analista de malware, cuyo nombre no ha sido revelado, que apuesta claramente por esta última opción:
«El desarrollador de Phorpiex cuenta con algunos rivales bastante desagradables en el campo de las botnets, así que no me sorprendería que se tratara de un ataque motivado por los celos o algo por el estilo».
Si es así, el golpe económico a sus rivales habrá sido de aúpa: según Check Point, los responsables de Phorpiex, una botnet que ha tardado más de una década en aquirir sus dimensiones actuales, llegaron a ganar 115.000 euros en tan sólo cinco meses, sólo con envíos masivos de emails de ‘sextorsión’.
Is #phorpiex malware going out of buissness? Our feeds show that the malware started removing itself from infected clients leaving this message pic.twitter.com/amC3gfYrQE
— Check Point Research (@_CPResearch_) January 23, 2020
De todos modos, no sería el primer caso en que las operaciones de Phorpiex sufren un revés: en 2018, uno de los servidores que permitían operar la botnet quedó expuesto, y los investigadores de ciberseguridad fueron capaces de recuperar un lista de 43,5 millones de dirección de e-mail que estaban siendo víctimas del spam de la botnet.
Vía | ZDNet