За фасадом рутинного червя: устаревший Phorpiex скрывает комплексную криминальную платформу Needle

Исходной точкой стал исполняемый файл размером всего 11 килобайт, загруженный в открытую базу данных вредоносных программ. Это был классический образец червя Phorpiex, известного с 2010 года. Файл не имел обфускации и содержал семь жёстко прописанных URL-адресов для загрузки дополнительной полезной нагрузки с одного и того же сервера. Большинство аналитиков, увидев подобный артефакт, сочли бы его рядовым событием и перешли к следующей задаче. Однако исследователи успели скачать все семь файлов с управляющего сервера до того, как оператор, заметив активность, удалил их примерно через восемь минут. Этот короткий промежуток времени позволил заглянуть за кулисы и обнаружить не просто набор троянов, а полноценную инфраструктуру.

За сервером распространения скрывался комплексный криминальный сервис под названием Needle, ранее не документированный в открытых источниках. Эта платформа предлагает функционал, сопоставимый с коммерческими стилерами, такими как Lumma или Raccoon, но с критически важным дополнением - встроенными модулями для кражи криптовалюты. Помимо этого, на том же сервере работал приватный пул для майнинга Monero, была доступна для подключения база данных MySQL, а также обнаружились следы координационного сервера для рассылки спама, который до момента очистки успел раздать более 120 тысяч партий учётных данных.

Анализ скачанных файлов показал чёткую цепочку заражения. Изначальный дроппер Phorpiex загружал семь модулей. Среди них был развёртыватель майнера Monero, настроенный на работу в скрытном режиме с ограничением использования процессора до 25%, сборщик файловой информации с жёстким кодом псевдонима оператора "TWIZT", а также несколько модулей для рассылки спама. Важно отметить, что временные метки компиляции указывали на то, что кампания была свежей - один из модулей был собран всего за семь минут до появления дроппера в открытом доступе. В ходе расследования эксперты обнаружили, что сервер, расположенный на IP-адресе 178.16.54[.]109, использовал пуленепробиваемый хостинг, зарегистрированный на подставную компанию в Сейшелах, и одновременно обслуживал несколько сервисов, включая живую панель управления Needle.

Именно панель Needle представляет наибольший интерес. Это не просто ботнет-панель, а многофункциональная платформа, построенная на React и предлагающая полный цикл услуг. Её ключевой модуль - "спуфер" браузерных кошельков - автоматически опустошает балансы жертв в момент, когда те вводят пароль от своих расширений, таких как MetaMask или Phantom. Поддерживается более восьми блокчейнов, включая Ethereum, Solana и Bitcoin. Второй модуль нацелен на настольные кошельки, такие как Ledger и Exodus, и похищает сид-фразы. Базовый функционал платформы включает стилер паролей, куков и данных банковских карт, а также перехватчик форм и клиппер, подменяющий криптовалютные адреса в буфере обмена.

Платформа обладает развитой системой сборки, позволяя операторам создавать кастомные полезные нагрузки с уникальными API-ключами, настройкой самоуничтожения и целевыми параметрами. Панель полностью переведена на английский и русский языки, имеет систему ролей пользователей, интеграцию с Telegram для оповещений и даже режим "стримера" для скрытия чувствительных данных при записи экрана. Наличие этих функций, а также разделов для управления доменами и лендинг-страницами, указывает на модель "преступление как услуга", где TWIZT может предоставлять инфраструктуру аффилиатам.

Параллельно с этим на порту 6060 того же сервера работал приватный майнинговый пул Monero. Подключение к нему подтвердило, что пул активен и распределяет задания по алгоритму RandomX. Все доходы от майнинга, осуществляемого заражёнными машинами, поступают напрямую оператору, минуя публичные отслеживаемые сервисы. Дополнительный сервер, использовавшийся для координации спам-рассылок, до своей очистки хранил гигантские объёмы данных. Анализ выборки показал, что в утечке преобладали учётные записи немецких и канадских провайдеров, а общее число компрометированных пар "email:пароль" могло достигать сотен миллионов. Спам-модули были настроены на рассылку писем с шантажом, где злоумышленники ложно утверждали, что записали жертву через веб-камеру, и требовали выкуп в биткоинах.

Обнаружение подобного комплекса за обычным червём Phorpiex демонстрирует важность глубокого анализа даже кажущихся рутинными инцидентов. Оператор под псевдонимом TWIZT выстроил вертикально интегрированную преступную операцию, сочетающую старые, но эффективные методы распространения с передовыми инструментами для кражи криптовалюты и монетизации данных. Активное наблюдение за логами и быстрое удаление следов говорят о высоком уровне операционной безопасности. Для специалистов по защите это служит напоминанием о необходимости мониторинга не только новейших угроз, но и их возможной связи с устоявшимися семействами вредоносного ПО, которые могут быть использованы в качестве первого звена для доставки гораздо более опасных payload.

IPv4

• 130.12.180.190
• 178.16.54.109

IPv4 Port Combinations

• 178.16.54.109:3000
• 178.16.54.109:3306
• 178.16.54.109:6060

URLs

• http://178.16.54.109:3000

SHA256

• 01f64c61767bc41f039cf2080e61da49c96b14e4d558da6c03128e40ca816799
• 0693d1659ff12cecfcc8ac404bec27c0eb9e2251c15a2049dc5e91268bf72e41
• 0bc6aad1faad13f94a2bba6a927a648fc49327ac224d0abe51530f91eb2d1a1c
• 30c1114e05874981661292fcca63241571eb0186175fcddc61cbc99fd3e52d7b
• 90ffd0ad811d9a85496a7985315343c412bff004d788ccf6d5fec30b2befaff4
• 9639f7ebc6a6d69d7bf5b8bc869e7783a1406088f192868624ad8919e9bfd1d4
• bcd5bdcd24000fddd5c512609692bdb62208a1c9c6081cbcfd08d53ea171824c
• d55ec8ebbf308993bbb517f0281fe4296c8e9864e43ff51ba5e0b639b840b085