Копируете адрес кошелька? Проверьте еще раз. Phorpiex уже ждет момента, чтобы подменить ваши деньги

Старый ботнет, о котором многие уже забыли, неожиданно оказался куда опаснее, чем казалось. Сеть Phorpiex, известная с 2011 года, не просто выжила, а превратилась в универсальный инструмент для массовых атак, вымогательства и кражи криптовалюты.

Специалисты из Bitsight Research разобрали новую активность Phorpiex в варианте Twizt. За годы существования ботнет сменил роль: начинал со спам-рассылок, а теперь работает как полноценная платформа для распространения вредоносных программ. Сеть сочетает классические серверы управления с одноранговым обменом между зараженными машинами, поэтому отключить инфраструктуру почти невозможно. Даже если серверы недоступны, зараженные устройства продолжают передавать команды друг другу.

Масштаб заражения впечатляет. Каждый день фиксируют около 125 тысяч инфицированных устройств, из них примерно 70 тысяч участвуют в одноранговой сети. За последние три месяца зараженные машины выходили в сеть более чем с 1,7 млн уникальных IP-адресов. Чаще всего заражения находят в Иране, Узбекистане, Китае, Казахстане и Пакистане. Такое распределение связывают с основной схемой заработка – подменой адресов криптокошельков в буфере обмена.

Phorpiex постоянно следит за тем, что пользователь копирует. Если вредоносная программа замечает адрес криптокошелька, она мгновенно подменяет его на адрес злоумышленника. В актуальных версиях зашито почти 90 разных кошельков под разные валюты.

Помимо кражи криптовалюты ботнет активно используют для доставки программ-вымогателей. Осенью 2025 года через Phorpiex распространяли версию LockBit Black. Зараженные машины получали загрузчик, который проверял, подключен ли компьютер к корпоративной сети или работает ли как сервер. Если условия подходили, на устройство загружался шифровальщик.

В январе 2026 года операторы запустили еще одну кампанию с использованием варианта Global ransomware. На этот раз атака была нацелена только на пользователей в Китае. Вредоносная программа определяла страну через открытые сетевые сервисы и запускала шифрование только на нужных устройствах. В результате зафиксировали падение активности примерно на 7 тысяч зараженных машин – показатель сопоставим с 10% всех наблюдаемых устройств.

Распространение идет через массовые письма с вложениями. Жертве приходит архив якобы с документом, внутри которого скрыта ссылка на запуск команды PowerShell. После запуска система скачивает следующий этап атаки и в итоге получает шифровальщик. Одна такая кампания может охватывать от 2 до 6 миллионов адресов электронной почты.

Тот же ботнет рассылает письма с шантажом. В сообщениях злоумышленники утверждают, что получили доступ к веб-камере жертвы и требуют около 1800 долларов в биткоинах. Похожие тексты гуляют по сети уже несколько лет, но сумма выкупа постепенно растет.

Phorpiex распространяется как червь. Вредоносная программа копирует себя на съемные носители и сетевые диски, маскируясь под обычные файлы. При открытии такого файла заражение продолжается. Параллельно код внедряется в другие исполняемые файлы на компьютере, чтобы закрепиться в системе.

Дополнительно вредоносная программа умеет обходить защиту. Она добавляет себя в список разрешенных приложений брандмауэра Windows и даже пытается перенастроить домашний роутер через функцию автоматической настройки, чтобы принимать входящие подключения. В результате зараженное устройство может само стать частью инфраструктуры управления.

Еще одна особенность – защита от перехвата управления. Все команды и файлы шифруются с использованием криптографии с открытым ключом. Без закрытого ключа злоумышленников внедрить свои команды в сеть практически невозможно.

Несмотря на возраст, Phorpiex остается живым и активно развивается. Операторы тестируют новые сценарии атак, сначала проверяют масштаб заражения, а затем запускают полноценные кампании. Такая осторожная тактика позволяет не потерять контроль над сетью и одновременно увеличивать прибыль.