Par Check Point Software Technologies Ltd
Une étude menée par : Gil Mansharov et Alexey Bukhteyev
Dans sa publication annuelle de 2018, le centre IC3 (Centre des plaintes relatives à la criminalité sur Internet) du FBI signale une augmentation de 242 % des emails d’extorsion, dont la majorité sont des emails de sextorsion, avec des pertes totales estimées à 83 millions de dollars.
Le principe de la sextorsion est simple :
un email de chantage menace d’exposer du contenu du destinataire à caractère sexuel sauf si un paiement est effectué. Beaucoup d’entre nous ont reçu de tels emails ou connaissent d’autres personnes qui en ont reçu. Peu ont payé les sommes demandées, mais ce pourrait-il que vous ayez diffusé sans le savoir 15 000 de ces emails de sextorsion à des victimes innocentes ?
Enquêtant sur cette tendance actuelle, Check Point Research a découvert un botnet qui fait précisément cela : il utilise les milliers d’hôtes infectés sous son contrôle pour diffuser des millions de menaces à des destinataires innocents.
Le botnet Phorpiex (appelé également Trik) est actif depuis presque au moins une décennie et exploite actuellement plus de 450 000 hôtes infectés. Dans le passé, Phorpiex générait principalement des revenus en diffusant différentes autres familles de logiciels malveillants, notamment GandCrab, Pony, Pushdo, et utilisait ses hôtes pour extraire de la cryptomonnaie à l’aide de différents programmes. Depuis récemment, Phorpiex intègre un nouveau moyen de générer des revenus parmi ses fonctionnalités. Phorpiex utilise désormais un robot de spam décrit dans cet article pour effectuer des campagnes de sextorsion à grande échelle.
Depuis près de cinq mois que nous surveillons cette activité, nous avons enregistré des transferts de plus de 11 BTC vers les portefeuilles de l’auteur de Phorpiex, soit actuellement plus de 110 000 dollars. Cela peut sembler être une faible somme, mais pour une opération nécessitant peu de maintenance, et utilisant uniquement une longue liste d’identifiants et le remplacement occasionnel d’un portefeuille, cela représente un joli revenu mensuel de 22 000 dollars.
Emails de sextortion
Le botnet Phorpiex/Trik utilise un robot de spam qui télécharge une base de données d’adresses email à partir d’un serveur de commande et de contrôle. Une adresse email est sélectionnée de manière aléatoire dans la base de données téléchargée et un message est composé à partir de plusieurs chaînes codées en dur. Le robot peut générer une grande quantité d’emails de spam (jusqu’à 30 000 par heure). Chaque campagne de spam peut cibler jusqu’à 27 millions de victimes potentielles.
La caractéristique la plus intéressante des récentes campagnes de spam est que le robot de spam Phorpiex/Trik utilise des bases de données contenant des mots de passe fuités en combinaison avec des adresses email. Le mot de passe d’une victime est généralement inclus dans un email pour le rendre plus persuasif, montrant ainsi que le mot de passe est connu du pirate. Pour choquer la victime, un message commence par un texte contenant le mot de passe.
Voici un exemple d’email de sextorion créé par le robot de spam Phorpiex:
De : Évite les ennuis
Objet : Je t’ai enregistré – {password}
Bonjour, je sais que l’un de tes mots de passe est : {password}
Ton ordinateur a été infecté par mon logiciel malveillant privé puisque ton navigateur n’est pas à jour/corrigé. Il suffit de consulter un site web contenant mon iframe pour être automatiquement infecté. Si tu veux en savoir plus, Google : « Exploitation par téléchargement ».
Mon logiciel malveillant m’a fourni un accès complet à tous tes comptes (voir mot de passe ci-dessus), un contrôle total sur ton ordinateur et il était également possible de t’espionner via la webcam.
J’ai collecté toutes tes données personnelles et je t’ai enregistré (via la webcam) PENDANT QUE TU TE MASTURBAIS !
Après cela, j’ai supprimé mon logiciel malveillant pour ne pas laisser de traces et cet email a été envoyé depuis un serveur piraté.
Je peux publier ta vidéo et toutes tes données privées sur le web, les réseaux sociaux, et par email à tous tes contacts.
Mais tu peux m’en empêcher et je suis le seul à pouvoir t’aider dans cette situation.
La seule façon de m’arrêter est de payer exactement 800 dollars en bitcoin (BTC).
C’est une très bonne offre, comparée à ce qui se produira si je publie tout !
Tu peux facilement acheter des bitcoins ici : www.paxful.com, www.coingate.com, www.coinbase.com, ou rechercher un guichet automatique de bitcoin près de chez toi, ou chercher une autre place de change sur Google.
Tu peux envoyer les bitcoins directement à mon portefeuille ou créer ton propre portefeuille ici : www.login.blockchain.com/en/#/signup/, puis recevoir des bitcoins et en envoyer à mon portefeuille.
Mon portefeuille bitcoin est : 1Eim8U3kPgkTRNSFKN49jgz9Wv4A1qmcjR
Copie et colle mon portefeuille, en respectant les majuscules et les minuscules
Je te donne 3 jours pour payer.
Comme j’ai accès à ce compte de messagerie, je saurai si cet email a été lu.
Si tu reçois cet email plusieurs fois, c’est pour bien m’assurer que tu le liras. Mon programme est configuré ainsi et tu peux l’ignorer après le paiement.
Après avoir reçu le paiement, je supprime tout et tu peux vivre en paix comme avant.
La prochaine fois, mets ton navigateur à jour avant de surfer sur le web !
Le robot de spam est l’un des logiciels malveillants en bout de chaîne de chaque campagne Phorpiex observée en 2019. Il ne possède pas de mécanisme de persistance, car il est téléchargé et exécuté par d’autres modules Phorpiex. Voici quelques URL à partir desquelles le robot de spam a été téléchargé :
| URL | Date | MD5 |
| hxxp://185.176.27[.]132/5 | 31/7/2019 | fac2fc1b97fc3ab4469e723e501cecef |
| hxxp://193.32.161[.]73/5 | 28/7/2019 | 8d1a1a39fec3efbd1700801266ba2529 |
| hxxp://193.32.161[.]77/5.exe | 9/7/2019 | f895a1875b3e112df7e4d548b28b9927 |
| hxxp://193.32.161[.]69/6.exe | 9/7/2019 | 39b326e56ab3c48b5bec19ad9300d2cf |
| hxxp://193.32.161[.]77/4.exe | 30/6/2019 | 586554bb5df08e8cabf54113d76b38e4 |
| hxxp://osheoufhusheoghuesd[.]ru/5.exe | 13/6/2019 | 29d3c08d5f9fcbbef6ea5493907f91d8 |
Tableau 1 – URL de pré-infection du robot de spam Phorpiex.
Détails techniques
Dès qu’il commence à fonctionner, le robot de spam effectue plusieurs vérifications et étapes d’initialisation, comme le reste des modules de Phropiex. Tout d’abord, pour empêcher l’exécution de plusieurs instances, il tente de créer un mutex avec un nom spécifique. Ce nom est codé en dur dans l’échantillon, mais chaque échantillon possède un nom mutex unique :
Figure 1 : Noms mutex du robot de spam.
Si le mutex existe déjà, le robot de spam s’arrête. Sinon, il poursuit les étapes d’initialisation : Le robot de spam supprime le flux de fichiers alternatif « :Zone.Identifier » et ajoute une exception au pare-feu en créant une nouvelle valeur dans la clé de registre :
SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\
Le robot de spam ajoute la valeur « <chemin_vers_le_robot_de_spam>:*:Enabled:<nom_codé_en_dur> » à cette clé, par exemple : %TEMP%\28764.exe:*:Enabled: WDrvConfiguration
Enfin, le robot de spam Phorpiex détermine l’entrée DNS MX du domaine « yahoo.com » ou « aol.com » et tente de se connecter à son serveur SMTP au port 25. Si le serveur SMTP est inaccessible, il cesse également de fonctionner :
Figure 2 : Vérification de l’accès au serveur SMTP de Yahoo.
Bases de données d’adresses email
Le robot de spam utilise une communication HTTP non chiffrée avec un serveur de commande et de contrôle. L’en-tête de user-agent suivant uniquement, bien qu’il ne soit pas réservé uniquement au robot de spam Phorpiex, est utilisé pour effectuer des requêtes http :
Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:67.0) Gecko/20100101 Firefox/67.0, et envoie une requête HTTP GET en utilisant l’URL :
hxxp://<Serveur de commande et de contrôle>/<chemin en dur>/n.txt ou hxxp://<Serveur de commande et de contrôle>/<chemin en dur>/p.txt
Exemple :
hxxp://193.32.161[.]69/111/n.txt
La réponse à cette requête contient un nombre N de bases de données d’adresses email stockées sur le serveur de commande et de contrôle. Des requêtes supplémentaires sont effectuées pour télécharger ces bases de données et les enregistrer dans le répertoire. %TEMP% avec l’extension « .jpg ».
Dans la boucle infinie, le logiciel malveillant génère des URL au format suivant :
hxxp://<Serveur de commande et de contrôle>/<chemin en dur>/<nombre aléatoire>.txt
Le <nombre aléatoire> est un entier aléatoire entre 1 et N.
L’URL finale d’une base de données d’adresses email à télécharger ressemblera à ceci :
hxxp://193.32.161[.]69/111/135.txt
La base de données téléchargée est enregistrée dans le répertoire %temp% avec le nom de fichier composé de chiffres aléatoires et l’extension « .jpg », par exemple :
%temp%\5173150314183010.jpg
La base de données téléchargée est un fichier texte, contenant jusqu’à 20 000 adresses email. Au cours des différentes campagnes, nous avons observé entre 325 et 1 363 bases de données d’adresses email sur un serveur de commande et de contrôle. Chaque campagne de sextorsion peut cibler jusqu’à 27 millions de victimes potentielles. Chaque ligne de ce fichier contient une adresse email et un mot de passe délimités par « : », comme indiqué ci-dessous :
| utilisateur1@bigpond.com:motdepassesecret1
utilisateur2@gmail.com:motdepassesecret2 utilisateur3@yahoo.com:motdepassesecret3 utilisateur4@rambler.ru:motdepassesecret4 |
Le robot de spam crée un total de 15 000 threads pour envoyer des emails de spam à partir d’une base de données. Chaque thread prend une ligne au hasard à partir du fichier téléchargé. Le fichier de base de données suivant est téléchargé lorsque tous les threads sont terminés. En prenant en compte les délais, on peut estimer que le robot est capable d’envoyer environ 30 000 emails en une heure.
Figure 3 : Création de threads pour l’envoi d’emails de spam.
Diffusion du spam
Le robot de spam utilise une simple implémentation du protocole SMTP pour envoyer des emails. L’adresse du serveur SMTP est dérivée du nom de domaine d’une adresse électronique. Après avoir établi une connexion avec le serveur SMTP et obtenu un message d’invitation, le robot de spam envoie un message SMTP HELO/EHLO avec sa propre adresse IP externe qu’il a obtenue à l’aide du service icanhazip.com.
Le robot de spam tente ensuite de générer un nom de domaine aléatoire valide au format suivant : « {4 chiffres aléatoires}.com » La validité du domaine est vérifiée à l’aide d’une requête DNS. Cela entraîne une grande quantité de requêtes DNS avant de pouvoir contacter un serveur SMTP :
Lorsqu’un domaine est résolu avec succès, il est utilisé pour l’adresse de messagerie de l’expéditeur. La première partie de l’adresse email de l’expéditeur (avant le « @ ») est générée à partir d’un mot codé en dur et de 2 chiffres aléatoires. Le nom d’hôte de l’expéditeur, son adresse IP et le nom de domaine d’un faux serveur SMTP sont également des valeurs aléatoires, comme indiqué dans l’image ci-dessous :
Pour définir un champ d’objet, le robot de spam concatène le nom d’utilisateur ou le mot de passe avec des chaînes choisies au hasard (peuvent différer dans d’autres échantillons) :
Ainsi, si nous supposons que « jean_dupont@exemple.com » est la victime, l’objet de l’email pourrait être : « Je t’ai enregistré – jean_dupont ».
Revenus
Nous avons vu comment des pirates tentaient d’extorquer de l’argent à l’aide du robot de spam Phorpiex, mais est-ce vraiment couronné de succès ?
Check Point Research a surveillé la campagne et les portefeuilles Bitcoin extraits de tous les robots de spam que nous avons vus depuis avril 2019 et nous avons constaté que plus de 11 BTC avaient été transférés sur ces portefeuilles :
| Portefeuille BTC | Transactions entrantes | Montant |
| 1Eim8U3kPgkTRNSFKN49jgz9Wv4A1qmcjR | 2 | 0,143446 |
| 1GAdm1HyyN9mAdx7j9WzfJyFtiiWbHNirF | 0 | 0 |
| 1BYamnmKJmDE5ftfi73FgpjWhFPBs7ojzJ | 0 | 0 |
| 1He7vySFu9pPVjUUgrYrULaAcpCEYddUrm | 0 | 0 |
| 1LwPAckT7ettEpLEuAU2dBXbqqSd9SrLAD | 2 | 0,011816 |
| 1D1nXbBdPmCpy9rPRdtaXjA5ftGzYPPw51 | 1 | 0,006144 |
| 1EQSAqbFwiZhpHrg6Wy4xhySc9fPpt7DQw | 0 | 0 |
| 1JtTm5eCxqj94Pb4d58pWGZjLUMYHuC6yX | 0 | 0 |
| 1J3xUWqjnDG5otximv6CcJ2bwEqggzBt3s | 0 | 0 |
| 1LZStbAiQYiBGUTEH8mbTYu8pbvmrDprZQ | 2 | 0,021601 |
| 1FLREuhB3U56yJBTTsj6zzEXjNf4BTzeZr | 2 | 0,149816 |
| 1DizniLKc16G3C4Sv4LfwT4cDFY6P2TUZ1 | 0 | 0 |
| 1QBfCvZUuA3fbXX9bHeeTpqzkYgikvhtXR | 2 | 0,081085 |
| 191chSfN28Qniupjv7DyJcJ9EVLouW33rL | 0 | 0 |
| 1F73edsje5GbjqybTgKAesWfihvp4Q59Eq | 2 | 0,358864 |
| 13HffyTVP8qcYzd5tga4Bc6rCGETNbbZuD | 1 | 0,03665 |
| 1MnUgqSkToq3j7ozwjSh54m1WxWZ3Xqym6 | 3 | 0,24168 |
| 12EMaHiZG75ztkjUjuPZhQDcyW89qRJVuR | 7 | 0,555361 |
| 15WGVWt16CzuK3opvJHg6i1XSstbXGEPcZ | 2 | 0,664307 |
| 1PC3q4JgAJvHcpsT2LqwoqVN2ckzAVQoxf | 1 | 0,019663 |
| 16JVTYxnaVqWM3gQffaZ3QD1CDzARUKQ15 | 0 | 0 |
| 1DEbZ7uqJYZpVcB3tBH2kGe9bucBjX3buS | 0 | 0 |
| 1Nq84HeDmd2JGyRtjqh32QRG4zoSrp8bdL | 2 | 0,159595 |
| 16JApT2K6Z9AirkMeBSWyhwuJ8dCfRhY9U | 1 | 0,036712 |
| 14vMRojDhqPxp1uqmAS5Sv6CijFaUiXWs6 | 0 | 0 |
| 1GTzcCBW79F3BtBdN9jx7hqNq65ebbt1Wm | 1 | 0,039957 |
| 1QJ3EPWv2SBuzNd25oPgNeDxSQSafRyx1E | 0 | 0 |
| 19naMJAmQq6b9XJaSaWpw2MTBBVeW355Ro | 1 | 0,043342 |
| 1HB3KtKoguFuZ4BdmCv9Fc4tYTwDQgmqmW | 7 | 1,203933 |
| 1PzrJSAhZSiYK93qLZnKsRzQzS49j5Ugzc | 2 | 0,101029 |
| 1BpwthndBC2aDHiztoMtMBnq7ejmNkHnSV | 2 | 0,255925 |
| 1CJngGvXs8gAcBZAt9EZh9UDuanYLUrrpx | 0 | 0 |
| 1CSDpCjyVHsuTb6i7zZ8dr81iUGL5ff7vM | 11 | 0,435314 |
| 13vLpBJLtoxKPBm9pmjJi8WbH4Be37JtBU | 0 | 0 |
| 1MX8BUf7R4rE7xLoaVMyiceX8DE8D3aFQg | 7 | 0,423759 |
| 169mDo7VcVbWdzFzVKokErmfrAGYwmjLxT | 0 | 0 |
| 1Bn4JYKoVgQpZ73doWVFSNZBbwKj3cpJNR | 20 | 0,180276 |
| 1BdMo6PKJCR9S6FzLDtE4ChszHdrJdbWJ7 | 2 | 0,146331 |
| 12ZyXPMJBAFCfpyYTYo8V6QcG653Lcs9oj | 3 | 0,471426 |
| 154J36DXD2wA512cJRdAJsr1KcKynbVtpM | 3 | 0,267253 |
| 15xdJ5nhwQCTFGs9AqciPGxgf62hGdWog7 | 1 | 0,174063 |
| 1BuER8YdiA7jYbGo6Eh2EB8GZ223jyoCeS | 0 | 0 |
| 1Kkhy6P6E2RczrMXmaGCFAEapMtGf8N7TZ | 0 | 0 |
| 15w8KYwC76vDRiSZD2LK6dEbHvs7N38mh6 | 2 | 0,333779 |
| 1GLJa8dMq9XBaiMhXNJSQjVoNzh2xRanzD | 1 | 0,00001 |
| 15dut9dbaZbSKZq27tyuLkjhCEiRaewvvh | 1 | 0,129657 |
| 14VYd5JrPrrXD1qiMxZ5An2VsU5db5ZqS7 | 1 | 0,189384 |
| 1PTNbkmQckDTjbhCMtfa5zqY992ZNZ8biG | 5 | 0,387527 |
| 17v35QnAre7Vd2T74SD9xhEGJVwYfTPDhN | 7 | 0,868118 |
| 1HwJeZ5uyNJ6Peq8x1wixKVnurY1yURK8P | 1 | 0,117079 |
| 1Mh8T6eVbP8zCRPzUqbb7b9PiW6Wv3mRPY | 1 | 0,131903 |
| 1GmebPccNzPrkFiWknizbsCfzgXv27JGZP | 0 | 0 |
| 14WqqoWch8bDkFYUtxP96qUgyEQxDZhsoZ | 1 | 0,00000576 |
| 19iHbuwE21MpfjDcLY5qb7teH8RrKoPKGd | 0 | 0 |
| 1PcZSbbc4u4juK64mpFSWwcR9hESPboRH8 | 1 | 0,000268 |
| 1EfKPq3Ac7cxud3gcrR4DWdHob9dMsGdhQ | 0 | 0 |
| 17jHsGecV53ro2LGzo53s5trTH6Qf3gksS | 6 | 0,940664 |
| 18jZzWe4Wv4mUNm93rjeWJscqPdhecwsAY | 1 | 0,068113 |
| 1EMzDTxTMy3bJLof6yLVU8jC2T92j89rse | 0 | 0 |
| 1CEi7Py9hNgMwqPMiCphFuF6SF263v7Yqj | 1 | 0,013788 |
| 1AiBJcWZYQrz5Z9S9X7nYNueznU7iU5V5h | 2 | 0,263333 |
| 1EwCEJr5JwpafZx11dcXDtX5QSPJvzth17 | 2 | 0,010038 |
| 1HctxwLwjEFCacTPi83me927UBs7aTJ7LF | 9 | 0,401235 |
| 14poC1Jg97vuvsyoKSZYz7h276LoAZcrtn | 1 | 0,323483 |
| 1NpjBxiLhQQ5VVyDMrxESoA5HoHLLQXABa | 1 | 0,134282 |
| 12KkDhdBX2zNv24D7SgBBrEBme7eNddvUj | 2 | 0,071166 |
| 1JrdZLfH6j9KP2GjCJc7PhxwrrYKGYoSEi | 1 | 0,08167 |
| 1Fjg3Q89MawTyfNcMbX6MUnfT923icRuMy | 2 | 0,168246 |
| 1DZNohaDckSxJu6YxfeGkqCtxDAhtFP3Jq | 3 | 0,443945 |
| 19razyqXme4evPi2wS9Zf8kor3VaYG8dTN | 8 | 0,243171 |
| 1CWHmuF8dHt7HBGx5RKKLgg9QA2GmE3UyL | 3 | 0,233163 |
| 1FqAEDNBFFjBZuVzk7V94tKgGwhVa8qABt | 1 | 0,055759 |
| 1BXavFhbxCpno2dFpS4BU4NvEJjjqCN8Kd | 3 | 0,156317 |
| 1PTtHP1ef2vMR2z8wExq6VB3PQePFF2UiV | 0 | 0 |
| Total | 157 | 11,99545 |
Tableau 2 – Portefeuilles BTC utilisés dans une campagne de sextortion.
Étant donné le nombre de transactions entrantes sur ces portefeuilles, nous pouvons également estimer le nombre total de victimes affectées par cette campagne. Par conséquent, environ 150 victimes ont payé les agresseurs sur une période de cinq mois. C’est un très petit pourcentage, compte tenu du nombre d’emails que le robot peut générer, mais cela signifie que cette technique d’arnaque simple a réussi.
D’autre part, les mots de passe des bases de données fuitées, tels que ceux utilisés dans la campagne de sextortion, sont généralement associés à d’autres ressources que la messagerie de la victime. Les mots de passe sont le plus souvent sans importance et la valeur de ces données est assez faible. Par conséquent, ces bases de données peuvent même être disponibles en accès libre ou vendues à un prix modique. Il est difficile de voir comment les pirates peuvent utiliser ce type de données pour réaliser des bénéfices. Cependant, les auteurs de Phorpiex ont mis au point une méthode de monétisation de leur botnet qui permet d’obtenir des bénéfices raisonnables.
Conclusion
Les listes d’identifiants fuités, contenant des mots de passe souvent incompatibles avec les adresses emails associées, sont courantes et peu coûteuses. Phorpiex, un botnet existant depuis un certain temps, a trouvé un moyen de les utiliser pour générer facilement un revenu à long terme. Cette nouvelle activité pourrait être une des conséquences de l’arrêt des activités de Gandcrab, un logiciel rançonneur distribué auparavant par Phorpiex, ou tout simplement au fait que les emails en texte brut parviennent toujours à s’infiltrer dans de nombreuses lignes de cyberdéfense. Quoi qu’il en soit, Phorpiex, qui exploite actuellement plus de 450 000 hôtes infectés, diffuse en permanence des emails de sextorsion, par millions.
Indicateurs de compromis
| URL de pré-infection |
| hxxp://185.176.27[.]132/5 |
| hxxp://185.176.27[.]132/4 |
| hxxp://185.176.27[.]132/3 |
| hxxp://193.32.161[.]73/5 |
| hxxp://193.32.161[.]73/4 |
| hxxp://193.32.161[.]73/3 |
| hxxp://193.32.161[.]69/6.exe |
| hxxp://193.32.161[.]77/5.exe |
| hxxp://osheoufhusheoghuesd[.]ru/3.exe |
| hxxp://193.32.161[.]77/6.exe |
| hxxp://osheoufhusheoghuesd[.]ru/4.exe |
| hxxp://ouhfuosuoosrhfzr[.]su/2.exe |
| hxxp://ouhfuosuoosrhfzr[.]su/3.exe |
| hxxp://ouhfuosuoosrhfzr[.]su/4.exe |
| hxxp://osheoufhusheoghuesd[.]ru/5.exe |
| hxxp://193.32.161[.]77/4.exe |
| hxxp://193.32.161[.]69/5.exe |
| hxxp://193.32.161[.]69/7.exe |
| MD5 | URL DU SERVEUR DE COMMANDE ET DE CONTRÔLE |
| 790b14490eb56622f3cfa768887fcb08 | hxxp://193.32.161[.]77/oaa/ |
| b5dffcdf23ea0365c0bbf6e70983d351 | hxxp://193.32.161[.]77/from/ |
| a267bf9e58726a34a91c365b61e1424a | hxxp://92.63.197[.]153/test2/ |
| 5c17496674a49f7ebaa44c5b33d32ae4 | hxxp://193.32.161[.]77/3/ |
| f1a69224571f7749f261fd8c08d6d8cb | hxxp://193.32.161[.]77/2/ |
| 8887f6f532a489fcab28eba80185337b | hxxp://193.32.161[.]77/fu/ |
| c58bd54c962d4e236e770df983fd2329 | hxxp://193.32.161[.]69/111/ |
| 9398682b9740d15dfb7b2996364cd979 | hxxp://92.63.197[.]153/sp/ |
| 9434796df2d62e4f666525419db86d18 | hxxp://193.32.161[.]77/neww/ |
| 7f52a1c1d63053bcf02c6225e4245345 | hxxp://92.63.197[.]153/t2/ |
| 69076366f1a1bd622c0d813709f29e4a | hxxp://87.120.37[.]234/ |
| fc729a08001392406565808408cf6166 | hxxp://193.32.161[.]77/dsh/ |
| 8a74d531fa839caf056a7a9c24237cd7 | hxxp://193.32.161[.]77/send/ |
| 1f4447c12a0b8f99c1ce5b748c762a9f | hxxp://92.63.197[.]153/t/ |
| a2d30294e59cd15304d071c396618fa7 | hxxp://193.32.161[.]77/mails/ |
| 646c630aa377f414e1e6820916952e1e | hxxp://193.32.161[.]77/sorry/ |
| ba24a030bd4d4b89a6ad16249d1674c2 | hxxp://193.32.161[.]77/2/ |
| 0d7f456f908565fb547438cb402a4eff | hxxp://193.32.161[.]77/en/ |
| 5b046452db5836deb47e359b4462ee16 | hxxp://92.63.197[.]153/sex-pass/ |
| 6628c07aadd53f34357b9b63e07d62b8 | hxxp://92.63.197[.]153/sex-pass-new/ |
| d7cfd3b8d83ca0af1518267a15f9c249 | hxxp://193.32.161[.]77/1/ |
| 9af3d711fd4733181fcd78796dd21cfa | hxxp://193.32.161[.]77/en2/ |
Lignes d’objet des messages
| Je connais ton mot de passe –
Ton mot de passe – Sale pervers – Pervers – Je t’ai piraté – Tu as été possédé – Tu ferais mieux de lire ceci – Tu ferais mieux de me payer – Vidéo te montrant – Je t’ai enregistré – Arrête de regarder du porno – Sale pervers – Tu as été piraté – Je sais tout – Tu as été infecté – J’ai infecté ton pc – Prends soin de toi – Mieux vaut me payer – Sauve ta vie – Protège ta vie privée – Je peux ruiner ta vie – Lis attentivement – Je te donne une chance – Je t’ai enregistré pendant que tu te masturbais – J’ai tout vu – Vidéos avec toi – Tu as été enregistré – Ton ordinateur est infecté – Ta vie peut être ruinée – Prends soin de toi la prochaine fois – Paye – Dans quelques jours – N’attends pas trop longtemps – Je n’attendrai pas trop longtemps – Tout le monde saura – Ce n’est plus privé – Il vaut mieux lire – Lis – Tes données privées – Ta vie privée – |
La blade Check Point Anti-Bot offre une protection contre cette menace :
Worm.Win32.Phorpiex.C
Worm.Win32.Phorpiex.D
Worm.Win32.Phorpiex.H