image

Spambotnet maakt gebruik van 711 miljoen e-mailadressen

woensdag 30 augustus 2017, 08:35 door Redactie, 3 reacties

Een omvangrijk spambotnet dat door een Franse onderzoeker is ontdekt blijkt over maar liefst 711 miljoen e-mailadressen te beschikken om spam naar toe en mee te versturen. Het spambotnet, met de naam Onliner, wordt gebruikt om via e-mailbijlagen de Ursnif banking Trojan te verspreiden.

Dit is malware speciaal ontwikkeld om gegevens voor internetbankieren te stelen, waar criminelen vervolgens mee kunnen frauderen. Om de spamberichten te versturen maakt het spambotnet gebruik van de inloggegevens van zo'n 80 miljoen gecompromitteerde e-mailadressen. Het gaat dan om gegevens die eerder bij andere datalekken zoals LinkedIn en Badoo zijn buitgemaakt. Via deze e-mailadressen worden er eerst "fingerprinting" e-mails naar de ongeveer 630 miljoen andere e-mailadressen gestuurd, zo laat ZDNet weten. Deze e-mails bevatten een verborgen trackingpixel. Zodra de e-mail wordt geopend stuurt de trackingpixel het ip-adres en user-agent informatie terug naar het botnet.

Op deze manier kan de aanvaller het besturingssysteem van en andere informatie over potentiële slachtoffers achterhalen. Aan de hand van de teruggestuurde gegevens kan de aanvaller vervolgens bepalen naar wie de Ursnif banking Trojan wordt verstuurd. Deze voorselectie zou het succes van de uiteindelijke aanval moeten vergroten, aldus de onderzoeker met het alias Benkow. De Australische onderzoeker Troy Hunt heeft de 711 miljoen unieke e-mailadressen in zijn zoekmachine Have I Been Pwned geladen, waar mensen kunnen kijken of hun e-mailadres gecompromitteerd is. De databestanden met de e-mailadressen blijken op een Nederlandse server te worden gehost. Inmiddels zouden de Nederlandse autoriteiten zijn gewaarschuwd om de server uit de lucht te halen.

Reacties (3)
30-08-2017, 09:24 door buttonius
Lijkt me geen spambot maar meer een fishingbot. Spam is ongeveer hetzelfde als ongevraagd drukwerk. Dit is veel ernstiger.

Die "voorselectie" vermindert de kans dat de tweede trap (de banking trojan) in een honeypot terecht komt waar (anti-)malware onderzoekers 'm kunnen analyseren en een detectiemethode en/of een verdediging kunnen ontwikkelen.
30-08-2017, 10:03 door Anoniem
from the ZDNet source:

That helps the attacker know who to target with the Ursnif malware, by specifically targeting Windows computers, rather than sending malicious files to iPhone or Android users, which aren't affected by the malware.
31-08-2017, 12:39 door Anoniem
Misschien bestaat dit al veel langer met het enige verschil dat die lijst nou zichtbaar is geworden voor "Jan en Alleman".
Datalekken worden steeds omvangrijker, even kijkt men op en dan sukkelt men weer opnieuw in slaap en is het "business as usual".

Uit de lucht halen die open toegankelijke server, maar dat lijkt ook "vechten tegen de bierkaai".
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.