711 миллионов адресов электронной почты попали в ловушку спам-бота

711 миллионов адресов электронной почты попали в ловушку спам-бота

711 миллионов адресов электронной почты попали в ловушку спам-бота

Исследователь из Парижа, известный под псевдонимом Benkow, обнаружил открытый и доступный извне веб-сервер, размещенный в Нидерландах, в котором хранится множество текстовых файлов, содержащих огромную партию адресов электронной почты, паролей и почтовых серверов, используемых для отправки спама. В общей сложности было обнаружено 711 миллионов учетных записей электронной почты.

Эти учетные данные имеют решающее значение для крупномасштабной работы спамера, они позволяют обойти фильтры спама, отправляя электронную почту через законные почтовые серверы.

Спамбот, получивший название Onliner, используется для доставки вредоносной программы Ursnif в почтовые ящики по всему миру. По словам Benkow, на сегодняшний день это привело к более чем 100 000 уникальных инфекций по всему миру.

Трой Хант (Troy Hunt), запустивший сайт, уведомляющий взломах «Have I Been Pwned», заявил, что это «ошеломляющий объем данных».

Benkow, опубликовавший свои выводы в блоге, провел месяцы, исследуя вредоносную программу Ursnif. Ursnif представляет собой троян, персональные данные, например, данные для авторизации, пароли и данные кредитных карт. При распространении этого трояна спамер отправлял дроппер в качестве якобы легитимного вложения в электронном письме. Если пользователь запускал этот файл, с сервера загружалась вредоносная программа.

Учитывая популярность использования электронной почты для распространения вредоносных программ, фильтры электронной почты становятся более умными, и многие домены, уличенные в отправке спама, были внесены в черный список. Однако спам-кампания Onliner использует сложную настройку для обхода этих спам-фильтров.

«Для того, чтобы начать рассылать спам, злоумышленнику нужен огромный список учетных данных SMTP. Эти учетные данные аутентифицируют спамера, позволяя отправить то, что кажется абсолютно безобидным электронным письмом. Чем больше SMTP-серверов он найдет, тем больше он сможет распространять кампанию» - пишет в своем блоге Benkow.

Учетные данные были получены злоумышленником благодаря множеству утечек, происходивших в разное время: взлом LinkedIn, взлом Badoo и других известных компаний. По словам исследователя, в списке насчитывается около 80 миллионов учетных записей, каждая строка содержит адрес электронной почты и пароль, а также SMTP-сервер и порт, используемый для отправки электронной почты.

Спамер проверяет каждую запись, подключаясь к серверу, чтобы убедиться, что учетные данные действительны. Неработающие учетные записи игнорируются.

Письма, рассылаемые в этой конкретной кампании, выглядят достаточно безобидно, но они содержат скрытое изображение размером с пиксель. После открытия такого письма на адрес злоумышленника отправляется IP-адрес жертвы, информация о ее user-agent и другая информация об устройстве. Это помогает злоумышленнику узнать, кого он атакует, так как хакеру нужно выбирать Windows-пользователей. Для пользователей iPhone или Android вредонос Ursnif не представляет никакой опасности.

Benkow отметил, что такие таргетированные атаки позволяют злоумышленнику оставаться до определенной степени незаметным, не привлекать к себе излишнего внимания очень масштабными рассылками.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Период распродаж сопровождался ростом активности DDoS и ботов

Киберпреступники не обошли стороной известный день распродаж — 11 ноября. Злонамеренная активность превышала легитимную почти на два порядка. Особенно интенсивно атаковали крупных ретейлеров.

В текущем году активность покупателей перед «Днем холостяка» 11 ноября, когда многие компании открывают сезон скидок, превышала среднюю в 2-3 раза. Но еще больше росла активность ботов.

Руководитель аналитического отдела Servicepipe Антон Чемякин сообщил «Известиям», что максимальная мощность атаки на один из российских маркетплейсов достигала 3,5 млн запросов в минуту, что в 50 раз превысило легитимную активность даже с учетом пиковой загрузки. DDoS-атаки на ретейлеров уже давно стали неотъемлемой частью сезона распродаж.

Активность ботов он связал с деятельностью конкурентов, которые собирали и структурировали информацию о товарном предложении и ценах. Подобная деятельность началась до старта активных распродаж.

Однако только сбором данных «ботоводы» не ограничивались. Директор платформы облачной киберзащиты Solar Space ГК «Солар» Артем Избаенков привел такой пример активности ботов незадолго до начала распродаж, с конца октября:

«Боты атакуют интернет-магазины разными способами. Например, создают ложные заявки на бронь товара, закидывают горячие линии спам-звонками и массово заполняют формы обратной связи на сайтах, имитируя высокий спрос. Такая ситуация не оставляет небольшим компаниям времени на обработку настоящих заказов, что, в свою очередь, полностью останавливает рабочие процессы».

Использовали ажиотаж перед сезоном распродаж и организаторы фишинговых кампаний. Их активность, по данным экспертов, опрошенных «Известиями», выросла в среднем в 5 раз.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru