Operação baseada no spam bot da Phorpiex combina listas de e-mails e senhas antigas, envio SMTP em massa e carteiras de Bitcoin para pressionar vítimas com mensagens de chantagem.
| Componente | Spam bot operado dentro da botnet Phorpiex, também conhecida como Trik, com mais de 500.000 hosts infectados citados no contexto. |
| Vetor | Módulos da Phorpiex baixam e executam o spam bot, que obtém bases de e-mail e senha de servidores C2 por HTTP sem criptografia e envia mensagens de extorsão via SMTP. |
| Impacto | A campanha pode produzir até 30.000 mensagens por hora e cada operação observada pode alcançar até 27 milhões de destinatários potenciais. |
| Prioridade | Identificar endpoints que fazem grande volume de consultas DNS e conexões SMTP na porta 25, conter hosts infectados e revisar exposição de credenciais vazadas. |
| Artefatos | Uso de mutex por amostra, remoção de :Zone.Identifier, exceção de firewall em chave de registro do Windows, arquivos temporários com extensão .jpg contendo listas de e-mails e senhas. |
| IoCs | Padrões de requisição HTTP para caminhos como hxxp://.../n.txt e hxxp://.../p.txt, além de comunicação com servidores C2 para baixar bases de endereços. |
| Ganhos observados | Carteiras usadas na campanha receberam mais de 14 BTC em cinco meses, com estimativa de aproximadamente 150 vítimas pagantes no período monitorado. |
A campanha analisada mostra uma evolução operacional da botnet Phorpiex, também chamada de Trik, que deixou de depender apenas da distribuição de outros malwares e de mineração de criptomoeda para monetizar sua base de máquinas comprometidas por meio de extorsão sexual por e-mail. A infraestrutura descrita combina três elementos de baixo custo para o operador: hosts já infectados, bases de credenciais vazadas e carteiras de Bitcoin trocadas conforme a campanha. O conteúdo das mensagens tenta convencer o destinatário de que houve comprometimento do computador e gravação por webcam, mas o elemento técnico que aumenta a pressão psicológica é a inclusão de uma senha associada ao endereço da vítima em vazamentos anteriores.
O dado crítico para defesa não é a narrativa da mensagem, e sim o mecanismo de distribuição. O spam bot é executado como um dos payloads finais dentro de campanhas da Phorpiex observadas em 2019. Ele não implementa persistência própria; sua execução depende de outros módulos da botnet, que baixam e acionam o componente responsável pelo envio. Essa arquitetura reduz a complexidade do binário de spam e transfere a manutenção da presença no endpoint para módulos já existentes da Phorpiex. Como consequência, um host corporativo infectado pode não apenas estar comprometido, mas também atuar como ponto de disparo de grandes volumes de e-mail abusivo.
A escala observada é significativa. O spam bot pode enviar cerca de 30.000 mensagens por hora e uma campanha individual pode processar bases suficientes para alcançar até 27 milhões de vítimas potenciais. Durante cinco meses de monitoramento da operação, carteiras vinculadas às mensagens receberam mais de 14 BTC, avaliados no contexto em mais de 110.000 dólares, com estimativa de cerca de 150 vítimas que realizaram pagamento. Embora a taxa de conversão seja baixa frente ao volume de mensagens, a operação continua atrativa para o operador porque exige pouca interação manual depois que listas de credenciais, infraestrutura C2 e hosts infectados estão disponíveis.
O fluxo começa antes do envio do e-mail. A máquina já precisa estar infectada por componentes da Phorpiex capazes de baixar e executar novos módulos. Uma vez iniciado, o spam bot realiza verificações de inicialização semelhantes às de outros componentes da família. Para evitar múltiplas instâncias no mesmo host, ele tenta criar um mutex com nome embutido na amostra. O nome é único por amostra, mas a lógica é a mesma: se o mutex já existir, a execução é encerrada; se não existir, o processo segue para etapas de preparação do ambiente.
Na preparação local, o malware remove o fluxo alternativo :Zone.Identifier, usado pelo Windows para marcar arquivos baixados de zonas externas, e cria uma exceção de firewall por meio de valor no caminho SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\. Essa alteração é relevante para investigação porque indica tentativa de reduzir bloqueios de tráfego de saída e de normalizar a execução do binário dentro do endpoint. Em seguida, o spam bot consulta registros MX de domínios como yahoo[.]com ou aol[.]com e tenta alcançar servidores SMTP na porta 25. Se essa conectividade não estiver disponível, a execução do componente é interrompida.
Depois da inicialização, o bot usa HTTP sem criptografia para se comunicar com o servidor C2. O tráfego utiliza um cabeçalho de agente de usuário compatível com Firefox em Windows e faz requisições para caminhos defangados como hxxp://.../n.txt ou hxxp://.../p.txt. A resposta informa quantas bases de endereços estão disponíveis no servidor. O malware então baixa os arquivos de base e os grava no diretório temporário com nomes compostos por dígitos aleatórios e extensão .jpg, embora o conteúdo seja texto. Essa camuflagem simples pode reduzir a suspeita em inspeções superficiais de diretório, mas é identificável por análise de tipo real do arquivo e por correlação com tráfego HTTP anterior.
Cada base baixada contém até 20.000 registros, com e-mail e senha delimitados por dois-pontos. Em campanhas diferentes, foram observadas entre 325 e 1.363 bases em servidores C2, volume suficiente para ampliar a superfície de destinatários a dezenas de milhões. O uso de senhas vazadas é o fator de convencimento central: a mensagem inclui a senha no corpo ou no assunto para induzir a vítima a acreditar que o invasor possui acesso atual ao computador ou à conta. O contexto técnico, porém, indica que muitas dessas senhas vêm de bases antigas, baratas ou até disponíveis publicamente, e frequentemente não correspondem mais à senha real da conta do destinatário.
Para envio, o bot cria 15.000 threads por base e seleciona linhas aleatórias do arquivo baixado. Ele implementa diretamente parte do protocolo SMTP e deriva o servidor de destino a partir do domínio do endereço do destinatário. Após estabelecer conexão e receber a saudação do servidor, o bot envia comandos SMTP usando o IP externo obtido por consulta a serviço público de identificação de endereço. O endereço do remetente é fabricado: o domínio é gerado aleatoriamente, validado por DNS e combinado com uma parte local formada por palavra embutida e dois dígitos aleatórios. Esse comportamento provoca grande volume de consultas DNS antes do contato com servidores SMTP, um sinal útil para detecção de endpoints envolvidos em spam.
A superfície diretamente afetada inclui máquinas Windows já comprometidas por módulos da Phorpiex, contas cujos endereços aparecem em bases de credenciais vazadas e domínios de e-mail que recebem conexões SMTP originadas desses hosts infectados. O risco para o proprietário da máquina infectada é duplo: além do comprometimento local pré-existente, o endpoint passa a participar de uma operação de abuso em massa. Em ambientes empresariais, isso pode gerar reputação negativa para blocos de rede, bloqueios por provedores de e-mail, alertas de abuso, impacto em entregabilidade e evidência de infecção interna não contida.
O alvo psicológico da campanha é o usuário final que reconhece uma senha antiga ou reutilizada. A presença da senha não confirma acesso atual ao computador, à webcam ou à caixa postal; ela confirma que o operador possui algum registro vazado associado ao endereço. Essa distinção importa para resposta a incidentes, porque evita tratar todo recebimento de e-mail como comprometimento ativo do endpoint da vítima. A investigação deve separar três cenários: usuário apenas recebeu chantagem baseada em vazamento, conta ainda usa senha exposta, ou máquina interna está infectada e enviando as mensagens.
A infraestrutura de envio depende da disponibilidade de saída SMTP na porta 25 a partir do host infectado. Redes que bloqueiam tráfego direto de estáções para servidores SMTP externos reduzem a utilidade do endpoint para esse tipo de spam bot. Por outro lado, redes permissivas podem permitir que uma infecção local se transforme rapidamente em grande volume de mensagens. O uso de HTTP sem criptografia para C2, arquivos temporários com extensão enganosa, consultas DNS em massa e alteração de exceção de firewall fornece múltiplos pontos de observação para equipes de segurança.
- Hosts Windows com módulos da Phorpiex capazes de baixar payloads adicionais.
- Endpoints que conseguem abrir conexões SMTP de saída na porta 25 para servidores externos.
- Usuários cujos e-mails e senhas aparecem em bases vazadas usadas como material de chantagem.
- Ambientes que não correlacionam criação de exceção de firewall, arquivos temporários suspeitos e tráfego HTTP para C2.
A investigação deve começar por sinais de endpoint associados ao ciclo de vida do spam bot. A criação de mutex por amostra não é suficiente como indicador universal, porque o nome muda entre binários, mas eventos de processo que antecedem grande volume de conexões SMTP ajudam a formar a linha do tempo. A remoção de :Zone.Identifier, a criação de entrada em AuthorizedApplications\List\ e a execução de binário temporário que grava arquivos .jpg contendo texto são eventos que devem ser correlacionados. Em EDR, esse padrão sugere um componente que tenta preparar o ambiente antes de iniciar comunicação externa em massa.
Na rede, o comportamento é mais ruidoso. O malware faz requisições HTTP não criptografadas para o C2 a fim de obter contagem e bases de endereços. Em seguida, grava essas bases no diretório temporário e inicia envio SMTP em múltiplas threads. A validação de domínios aleatórios gera muitas consultas DNS, muitas delas sem valor operacional legítimo para uma estáção comum. A combinação de alto volume de DNS, conexões de saída para porta 25 e processos sem relação com clientes de e-mail é uma oportunidade de detecção comportamental mesmo sem indicadores fixos de infraestrutura.
Também é necessário tratar telemetria de identidade. Usuários que recebem mensagens contendo senhas devem ser orientados a verificar se a senha ainda é usada em algum serviço e a substituir credenciais reutilizadas. A senha exibida na chantagem deve ser tratada como dado já exposto, mas o recebimento do e-mail não prova por si só que a conta foi acessada naquele momento. Logs de autenticação, eventos de MFA, mudanças de senha, encaminhamentos indevidos e criação de regras de caixa postal devem ser revisados quando houver suspeita adicional de comprometimento da conta.
- Processos que criam exceção no firewall do Windows e, na sequência, iniciam conexões SMTP externas.
- Arquivos no
%TEMP%com extensão.jpgcujo conteúdo real é texto com pares de e-mail e senha. - Grande volume de consultas DNS para domínios aleatórios antes de sessões SMTP.
- Requisições HTTP sem criptografia para caminhos defangados como
hxxp://.../n.txtehxxp://.../p.txt. - Estáções de trabalho que tentam alcançar servidores SMTP externos diretamente pela porta 25.
- Relatos de usuários recebendo mensagens com senhas antigas, especialmente quando há reutilização de credenciais.
A resposta deve distinguir máquina emissora, usuário destinatário e credencial exposta. Para máquinas internas com sinais de Phorpiex, a prioridade é isolamento do endpoint, coleta de evidências voláteis disponíveis, análise do binário e remoção dos módulos responsáveis pela execução de payloads. Como o spam bot não mantém persistência própria, eliminar apenas o componente de spam pode não resolver o incidente se outros módulos da botnet permanecerem ativos. A erradicação precisa focar a cadeia da Phorpiex que baixa e executa payloads finais.
Na camada de rede, bloquear conexões SMTP diretas de estáções para a Internet reduz a capacidade de abuso. O envio de e-mail deve sair por relays autorizados, com autenticação, registro e inspeção. Consultas DNS em massa originadas de estáções comuns devem alimentar regras de detecção, especialmente quando correlacionadas com HTTP sem criptografia e criação de arquivos temporários anômalos. A organização também deve monitorar reputação de IPs corporativos e responder a notificações de abuso como possível evidência de infecção, não apenas como problema de e-mail.
Para usuários que receberam a chantagem, a mitigação correta é revogar a utilidade da credencial exposta. Isso inclui troca de senhas reutilizadas, adoção de MFA, revisão de logs de acesso e verificação de regras de encaminhamento em serviços de e-mail quando houver indício de acesso indevido. Não há evidência técnica, no contexto analisado, de que a mensagem por si só prove gravação por webcam, acesso total ao computador ou coleta real de arquivos privados. A resposta deve evitar pânico, mas tratar qualquer senha citada como comprometida e inutilizável.
Em programas de segurança, esse tipo de campanha reforça a necessidade de integrar threat intelligence, gestão de credenciais vazadas e controles de egress. Uma base antiga de senhas, mesmo de baixa qualidade, continua útil para extorsão quando usuários reconhecem credenciais reutilizadas. A defesa deve reduzir o impacto por múltiplas frentes: higiene de senhas, MFA, bloqueio de SMTP direto, inspeção de alterações de firewall, detecção de tráfego C2 sem criptografia e contenção rápida de hosts que exibem comportamento de envio em massa.
- Isolar endpoints que geram tráfego SMTP em massa e coletar telemetria de processo, rede, DNS e registro.
- Remover módulos persistentes da Phorpiex, não apenas o payload de spam executado no momento.
- Bloquear saída direta para porta 25 a partir de estáções e permitir envio apenas por relays aprovados.
- Criar detecções para arquivos
.jpgtemporários com conteúdo textual de credenciais e para alterações emAuthorizedApplications\List\. - Forçar troca de senhas citadas em mensagens de chantagem e eliminar reutilização em contas corporativas e pessoais.
- Revisar autenticações recentes, regras de caixa postal e eventos de MFA quando houver suspeita de acesso real à conta.
0 Comentários