殭屍網絡Phorpiex放棄加密勒索轉攻色情訛騙電郵勒索

已經存在有 10 年歷史的殭屍網絡 Phorpiex 放棄近年散播加密勒索程式 GandCrab 的習慣,改為濫發色情勒索的電郵,潛在受影響的人數可能高達數千萬。

控制 50 萬台電腦的殭屍網絡
殭屍網絡 Phorpiex 已經活躍近 10 年時間,在全球控制了接近 50 萬台電腦,該網絡以散播加密勒索軟件 GandCrab 而聞名,同時也會在受感染的裝置上進行加密貨幣的「挖礦」活動。不過研究人員現該網絡已進行了 5 個月的活動,改為大規模的色情電郵勒索活動,研究人員估計此現像與 GrandCrab 正式停止運作有關,現在 Phorpiex 已送出數以百萬計的詐騙色情勒索電郵。

自稱持有用戶的色情內容
色情電郵勒索的概念十分簡單,騙徒濫發大量電郵,聲稱持有收件者的色情內容或個人資料,並且向收件者勒索以換取不公開上述的所謂「黑材料」,而事實上,同類型的勒索,攻擊者只是虛張聲勢,令收件者因為恐慌而支付「掩口費」。

在整個活動中,受 Phorpiex 控制的電腦會從 C&C 伺服器資料庫中下載電郵地址和相應的權限資料,根據研究人員的觀察,每個資料庫的電郵地址數量都各有不同,有時高達 2 萬個,一般介乎 3 百多至 1 千多個電郵,總數加起來潛在受害者以百萬計。

勒索郵件含用戶密碼
在這次 Phorpiex 的活動中,最特別之處是詐騙勒索的電郵內容結合了外洩的密碼在內,受害者收到電郵時會看見自己的密碼,從而增加電郵的威嚇力,令部份人士更容易相信自己的秘密已落入騙徒手中。此外,這次攻擊的電郵地址,全部由下載的資料庫中隨機選擇,電郵內容通常聲稱收件者的電腦已受到攻擊者的私人惡意程式感染,並已錄影受害者不可告人的秘密 (色情相關) 威脅會把資料公開,除非收件者支付 800 比特幣的「掩口費」,而殭屍網絡 Phorpiex 可以每小時濫發 3 萬封以上的電郵。

收入不高勝在成低夠低
研究人員觀察了 Phorpiex 的色情電郵訛騙活動 5 個月,發現每月大約有 2.2 萬美元的比特幣進入 Phorpiex 的加密貨幣錢包,雖然與其他網上騙財的活動相比,收穫並不算豐富,然而研究人員指出 Phorpiex 這次活動的成本十分低,而根據觀察騙徒錢包的活動,估計 5 個月間有大約 150 名受害者應電郵的要求支付「掩口費」,考慮到濫發寄出的電郵數量,這個活動的「成功率」算偏低,但仍然顯示出簡單的行騙技倆在這個年代仍然有效。

資料來源:Threat Post