ZDNet了解到,一个神秘的实体似乎劫持了Phorpiex(Trik)僵尸网络的后端基础结构,并正在从受感染的主机上卸载垃圾邮件机器人恶意软件,同时还显示一个弹出窗口,告诉用户安装防病毒软件和更新其计算机。
弹出窗口从今天开始(美国东部时间清晨)开始出现在用户的屏幕上,并且已被防病毒供应商Check Point的研究小组发现。
最初,ZDNet和其他人认为这是Phorpiex团队在恶意软件内部进行的恶作剧编码,目的是诱使安全研究人员分析恶意软件。
但是,随着时间的流逝,很明显,这实际上是在现实世界中的客户系统上发生的,而不仅仅是弹出窗口出现在用作恶意软件分析沙箱的虚拟机中。
Check Point网络研究主管Yaniv Balmas对ZDNet表示:“这确实在发生。” “我们正在密切监视这个恶意软件家族,并注意到这种行为是在几个小时前开始的。”
Balmas列出了可能发生的几种理论-例如恶意软件运营商决定以自己的方式退出并关闭僵尸网络,执法行动,警惕的安全研究人员亲自处理问题或竞争对手恶意软件团伙通过销毁僵尸网络破坏Phorpiex成员。
最有可能是劫机
另一位恶意软件分析师说:“劫机似乎是基于Phorpiex开发人员的往绩,”他拒绝在本文中使用自己的名字,因为他无权以自己公司的名义讲话-另一家防病毒软件供应商。
他补充说:“ Porpiex开发人员在僵尸网络游戏中有一些非常讨厌的竞争对手,因此,如果这是出于嫉妒或类似目的而发起的攻击,这也不会令我感到惊讶。”
这位恶意软件分析师说:“ Phorpiex僵尸网络的开发人员非常懒惰和粗心,”他声称,由于其简单的基于IRC的命令和控制机制,他过去也可能劫持了该僵尸网络。
同一僵尸网络在2018年遭受数据泄露
Phorpiex恶意软件已经活跃了十多年,过去由于其粗心大意而遭受了安全漏洞。
2018年,Phorpiex开发人员将僵尸网络的命令和控制后端服务器之一留在网上暴露,安全研究人员能够检索出 Phorpiex工作人员针对垃圾邮件活动针对的4350万个电子邮件地址列表。
Phorpiex是当今最活跃的垃圾邮件僵尸网络之一。Phorpiex团队的工作方式是感染Windows计算机,并将这些系统用作垃圾邮件机器人,以发送大规模的垃圾邮件活动。
这些垃圾邮件活动通过用Phorpiex感染新PC来保持垃圾邮件僵尸网络的生命,但是它们还代表其他网络犯罪组织发出自定义的垃圾邮件活动-Phorpiex团队通过这种方式来赚钱。
如今,谁劫持了僵尸网络并指示僵尸网络自行卸载,都会严重影响Phorpiex犯罪团伙的未来利润和运营。为了让Phorpiex的工作人员损失多少利润,Check Point先前曾报道说,同一僵尸网络仅在5个月内就通过大量发送垃圾邮件发送了115,000美元的收入。