711 миллионов адресов электронной почты попали в «самый большой» спамбот

(Изображение: файл фото)

Был обнаружен огромный спамбот, заключающий в себе 711 миллионов почтовых аккаунтов.

Исследователь безопасности из Парижа, который использует псевдоним Benkow обнаружил открытый и доступный веб-сервер, расположенный в Нидерландах, который хранит десятки текстовых файлов, содержащих огромную партию адресов электронной почты, паролей и серверов электронной почты, используемых для рассылки спама.

Эти учетные данные имеют решающее значение для работы крупномасштабного вредоносного ПО спаммера, чтобы обойти фильтры спама, отправляя электронную почту через законные почтовые серверы.

Спамбот, получивший название «Onliner», используется для доставки банковского вредоносного ПО Ursnif во входящие почтовые ящики по всему миру. На сегодняшний день это привело к более чем 100 000 уникальных инфекций по всему миру, сказал Бенков ZDNet.

Трой Хант, кто управляет сайтом уведомлений о нарушении сказал, что это было «ошеломляющее количество данных».

Хант, который проанализировал данные и подробно изложил свои выводы в Сообщение блога , назвал его "самой большой" партией данных, чтобы войти в сайт уведомления о нарушении в его истории.

Бенков, который также написал свои выводы в блоге провел месяцы, копаясь в вредоносной программе Ursnif, троянеце для кражи данных, который используется для сбора личной информации, такой как данные для входа, пароли и данные кредитных карт, исследователи сказали , Как правило, спамер отправляет файл «дроппера» в виде обычного почтового вложения. Когда вложение открывается, вредоносная программа загружается с сервера и заражает компьютер.

Но хотя рассылка спама по-прежнему остается эффективным методом доставки вредоносных программ, фильтры электронной почты становятся все умнее, и многие домены, в которых обнаружен спам, попали в черный список.

Однако в кампании Splinmer Onliner используются сложные настройки, позволяющие обойти эти фильтры спама.

«Чтобы отправить спам, злоумышленнику нужен огромный список учетных данных SMTP», - сказал Бенков в своем блоге. Эти учетные данные проверяют подлинность спамера, чтобы отправить то, что кажется допустимым по электронной почте.

«Чем больше SMTP-серверов он сможет найти, тем больше он сможет распространять кампанию», - сказал он.

Эти полномочия, пояснил он, были очищены и сопоставлены с другими нарушениями данных, такими как как взломать LinkedIn а также взломать Badoo , а также другие неизвестные источники. По его словам, в списке около 80 миллионов учетных записей, каждая строка содержит адрес электронной почты и пароль, а также SMTP-сервер и порт, используемый для отправки электронной почты. Спамер проверяет каждую запись, подключаясь к серверу, чтобы убедиться, что учетные данные действительны и спам можно отправить. Учетные записи, которые не работают, игнорируются.

Эти 80 миллионов почтовых серверов затем используются для отправки оставшихся 630 миллионов целевых электронных писем, предназначенных для разметки жертвы, или так называемых «дактилоскопических» электронных писем.

Эти электронные письма выглядят достаточно безобидными, но они содержат скрытое изображение размером с пиксель. Когда электронное письмо открыто, пиксельное изображение отправляет обратно IP-адрес и информацию агента пользователя, используемую для идентификации типа компьютера, операционной системы и другую информацию об устройстве. Это помогает злоумышленнику узнать, на кого нужно нацелить вредоносное ПО Ursnif, в частности, на компьютеры Windows, а не отправлять вредоносные файлы пользователям iPhone или Android, которые не подвержены влиянию вредоносного ПО.

Бенков сказал, что сужение потенциальных жертв является ключом к обеспечению успеха кампании вредоносного ПО.

«Существует риск, что кампания может стать слишком шумной, как, например, Dridex», - сказал он ZDNet . «Если ваша кампания слишком шумная, правоохранительные органы будут искать вас».

Бенков объяснил, что злоумышленник может разослать миллион «дактилоскопических» спам-писем и получить часть писем обратно, но при этом у него достаточно ответов, чтобы отправить вторую партию из нескольких тысяч целевых писем с вредоносным ПО.

Эти электронные письма часто приходят через несколько дней или даже недель, маскируясь под счета от служб доставки, отелей или страховых компаний, с прикрепленным вредоносным файлом JavaScript.

«Это довольно умно», - признался Бенков.

По словам Ханта, который обработал данные, 27 процентов адресов электронной почты в данных уже находятся в Я был Pwned , Но он заметил предостережение: поскольку данные извлекаются из Интернета, некоторые данные искажены. Он сказал, что хотя цифра в 711 миллионов человек "технически точна", число вовлеченных людей будет несколько меньше.

Хант сделал данные для поиска в Я был Pwned ,

Есть совет?

Вы можете безопасно отправлять советы по Сигналу и WhatsApp по номеру 646-755–8849. Вы также можете отправить электронное письмо PGP с отпечатком пальца: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.

Прочитайте больше