IT-säkerhetsföretaget Check Point Software Technologies har upptäckt en ny botnätvariant som har stulit kryptovaluta till ett värde av nästan nästan fem miljoner kronor genom att utnyttja en teknik som kallas "crypto clipping". Den nya varianten, som kallas Twizt och är en ättling till Phorpiex, stjäl kryptovaluta under pågående transaktioner genom att automatiskt ersätta den avsedda plånboksadressen med adressen till den kriminella gruppens plånbok.
Twizt kan fungera även utan en aktiv command-and-control-server, vilket gör att den har möjlighet att undvika säkerhetsmekanismer. Twizt använder också en peer-to-peer-modell och kan ta emot kommandon och uppdateringar från tusentals andra infekterade maskiner. Ett peer-to-peer-botnät är svårare att stoppa eller eliminera. Detta gör Twizt mer stabilt än tidigare versioner av Phorpiex. Twizt stöder också fler än 30 olika kryptovaluta-plånböcker från olika blockkedjor, inklusive några av de stora aktörerna som Bitcoin, Ethereum, Dash och Monero.
– Twizt har en enorm attackyta och i princip alla som använder krypto kan drabbas, säger Mats Ekdahl, säkerhetsexpert hos Check Point Software. Jag uppmanar alla användare av kryptovaluta att dubbelkolla plånboksadresserna de kopierar och klistrar in, så att inte din kryptovaluta hamnar i orätta händer.
Under det senaste året, mellan november 2020 och november 2021, kapade Phorpiex 969 transaktioner och stal 3,64 Bitcoin, 55,87 Ether och $55 000 i ERC20-tokens. Värdet på de stulna tillgångarna i dagens värde uppgår till nästan en halv miljon dollar. Flera gånger lyckades Phorpiex kapa transaktioner där stora belopp var inblandade.
