Исследователь из Парижа, известный под псевдонимом Benkow, обнаружил открытый и доступный извне веб-сервер, размещенный в Нидерландах, в котором хранится множество текстовых файлов, содержащих огромную партию адресов электронной почты, паролей и почтовых серверов, используемых для отправки спама. В общей сложности было обнаружено 711 миллионов учетных записей электронной почты.
Эти учетные данные имеют решающее значение для крупномасштабной работы спамера, они позволяют обойти фильтры спама, отправляя электронную почту через законные почтовые серверы.
Спамбот, получивший название Onliner, используется для доставки вредоносной программы Ursnif в почтовые ящики по всему миру. По словам Benkow, на сегодняшний день это привело к более чем 100 000 уникальных инфекций по всему миру.
Трой Хант (Troy Hunt), запустивший сайт, уведомляющий взломах «Have I Been Pwned», заявил, что это «ошеломляющий объем данных».
Benkow, опубликовавший свои выводы в блоге, провел месяцы, исследуя вредоносную программу Ursnif. Ursnif представляет собой троян, персональные данные, например, данные для авторизации, пароли и данные кредитных карт. При распространении этого трояна спамер отправлял дроппер в качестве якобы легитимного вложения в электронном письме. Если пользователь запускал этот файл, с сервера загружалась вредоносная программа.
Учитывая популярность использования электронной почты для распространения вредоносных программ, фильтры электронной почты становятся более умными, и многие домены, уличенные в отправке спама, были внесены в черный список. Однако спам-кампания Onliner использует сложную настройку для обхода этих спам-фильтров.
«Для того, чтобы начать рассылать спам, злоумышленнику нужен огромный список учетных данных SMTP. Эти учетные данные аутентифицируют спамера, позволяя отправить то, что кажется абсолютно безобидным электронным письмом. Чем больше SMTP-серверов он найдет, тем больше он сможет распространять кампанию» - пишет в своем блоге Benkow.
Учетные данные были получены злоумышленником благодаря множеству утечек, происходивших в разное время: взлом LinkedIn, взлом Badoo и других известных компаний. По словам исследователя, в списке насчитывается около 80 миллионов учетных записей, каждая строка содержит адрес электронной почты и пароль, а также SMTP-сервер и порт, используемый для отправки электронной почты.
Спамер проверяет каждую запись, подключаясь к серверу, чтобы убедиться, что учетные данные действительны. Неработающие учетные записи игнорируются.
Письма, рассылаемые в этой конкретной кампании, выглядят достаточно безобидно, но они содержат скрытое изображение размером с пиксель. После открытия такого письма на адрес злоумышленника отправляется IP-адрес жертвы, информация о ее user-agent и другая информация об устройстве. Это помогает злоумышленнику узнать, кого он атакует, так как хакеру нужно выбирать Windows-пользователей. Для пользователей iPhone или Android вредонос Ursnif не представляет никакой опасности.
Benkow отметил, что такие таргетированные атаки позволяют злоумышленнику оставаться до определенной степени незаметным, не привлекать к себе излишнего внимания очень масштабными рассылками.
