711 миллионов адресов электронной почты попали в ловушку спам-бота

711 миллионов адресов электронной почты попали в ловушку спам-бота

Исследователь из Парижа, известный под псевдонимом Benkow, обнаружил открытый и доступный извне веб-сервер, размещенный в Нидерландах, в котором хранится множество текстовых файлов, содержащих огромную партию адресов электронной почты, паролей и почтовых серверов, используемых для отправки спама. В общей сложности было обнаружено 711 миллионов учетных записей электронной почты.

Эти учетные данные имеют решающее значение для крупномасштабной работы спамера, они позволяют обойти фильтры спама, отправляя электронную почту через законные почтовые серверы.

Спамбот, получивший название Onliner, используется для доставки вредоносной программы Ursnif в почтовые ящики по всему миру. По словам Benkow, на сегодняшний день это привело к более чем 100 000 уникальных инфекций по всему миру.

Трой Хант (Troy Hunt), запустивший сайт, уведомляющий взломах «Have I Been Pwned», заявил, что это «ошеломляющий объем данных».

Benkow, опубликовавший свои выводы в блоге, провел месяцы, исследуя вредоносную программу Ursnif. Ursnif представляет собой троян, персональные данные, например, данные для авторизации, пароли и данные кредитных карт. При распространении этого трояна спамер отправлял дроппер в качестве якобы легитимного вложения в электронном письме. Если пользователь запускал этот файл, с сервера загружалась вредоносная программа.

Учитывая популярность использования электронной почты для распространения вредоносных программ, фильтры электронной почты становятся более умными, и многие домены, уличенные в отправке спама, были внесены в черный список. Однако спам-кампания Onliner использует сложную настройку для обхода этих спам-фильтров.

«Для того, чтобы начать рассылать спам, злоумышленнику нужен огромный список учетных данных SMTP. Эти учетные данные аутентифицируют спамера, позволяя отправить то, что кажется абсолютно безобидным электронным письмом. Чем больше SMTP-серверов он найдет, тем больше он сможет распространять кампанию» - пишет в своем блоге Benkow.

Учетные данные были получены злоумышленником благодаря множеству утечек, происходивших в разное время: взлом LinkedIn, взлом Badoo и других известных компаний. По словам исследователя, в списке насчитывается около 80 миллионов учетных записей, каждая строка содержит адрес электронной почты и пароль, а также SMTP-сервер и порт, используемый для отправки электронной почты.

Спамер проверяет каждую запись, подключаясь к серверу, чтобы убедиться, что учетные данные действительны. Неработающие учетные записи игнорируются.

Письма, рассылаемые в этой конкретной кампании, выглядят достаточно безобидно, но они содержат скрытое изображение размером с пиксель. После открытия такого письма на адрес злоумышленника отправляется IP-адрес жертвы, информация о ее user-agent и другая информация об устройстве. Это помогает злоумышленнику узнать, кого он атакует, так как хакеру нужно выбирать Windows-пользователей. Для пользователей iPhone или Android вредонос Ursnif не представляет никакой опасности.

Benkow отметил, что такие таргетированные атаки позволяют злоумышленнику оставаться до определенной степени незаметным, не привлекать к себе излишнего внимания очень масштабными рассылками.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Сотрудникам Аэрофлота запретили пользоваться смартфонами в офисах

Генеральный директор «Аэрофлота» выпустил указ, согласно которому сотрудникам компании запрещается в рабочее время пользоваться телефонами, которые могут производить фото- и видеосъемку, а также аудиозапись.

Эту информацию опубликовал у себя в Twitter председатель совета благотворительного фонда «Нужна помощь» Митя Алешковский.

Исходя из текста приказа, использовать телефоны в офисах могут лишь сотрудники, занимающие определенные должности. Соответствующие должности перечислены в приложении к документу, которое, к сожалению, Алешковский не опубликовал.

«Приказ принят в рамках российского законодательства и направлен на охрану информационной безопасности в компании с госучастием. Последний информационный вброс, а именно фото данного приказа, сделан с применением камеры мобильного телефона, что свидетельствует о правильности решения», — передают «Ведомости» слова представителя компании.

Работников должны будут ознакомить с этим приказом под роспись, а также руководящий состав должен будет выявлять правонарушения и привлекать к дисциплинарной ответственности виновных. Контроль за исполнением приказа возложен на гендиректора по административному управлению «Аэрофлота» Василия Авилова.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru