Кто-то удаляет вредоносное ПО Phorpiex с зараженных ПК и рекомендует установить антивирус

Похоже, что неизвестное лицо перехватило управление над инфраструктурой ботнета Phorpiex (Trik). Дело в том, что некто начал удалять вредоносное ПО с зараженных ПК, оставляя после себя сообщение с рекомендацией установить антивирусную программу и обновить ПО компьютера.

Сначала предполагалось, что это своеобразная шутка, оставленная внутри вредоносной программы, чтобы посмеяться над ИБ-специалистами, которые занимаются анализом вируса. После проверки оказалось, что вредонос действительно удаляется с зараженных ПК.

Янив Балмас (Yaniv Balmas), глава отдела кибер-исследований в Check Point, работающей в сфере информационной безопасности, подтвердил, что вредоносное ПО начало удаляться с пользовательских компьютеров, отметив, что специалисты компании внимательно следят за семейством вредоносных программ Phorpiex. Он также выдвинул несколько предположений касательно случившегося. Операторы ботнета могли самостоятельно прекратить работу вредоносной сети. Это также могли сделать правоохранительные органы, ИБ-специалисты или операторы конкурирующих ботнетов, решившие саботировать работу Phorpiex.

Семейство вредоносных программ Phorpiex, используемое злоумышленниками более десяти лет, в прошлом неоднократно сталкивалось с проблемами, в том числе из-за небрежности разработчиков. К примеру, в 2018 году один из серверов управления ботнетом был оставлен в открытом доступе, благодаря чему ИБ-специалисты сумели извлечь более 43 млн адресов электронных почтовых ящиков, которые использовались операторами Phorpiex для рассылки фишинговых спам-сообщений. Рассматриваемая сеть активно используется злоумышленниками, а ее работоспособность поддерживается благодаря регулярным кампаниям по массовой рассылке фишинговых писем, применяемых для заражения новых ПК.