Un spambot s'appuie sur 711 millions d'entrées pour diffuser le malware bancaire Ursnif
Un spambot s'appuie sur 711 millions d'entrées pour diffuser le malware bancaire Ursnif,
vérifiez que votre compte n'en fait pas partie
Un chercheur en sécurité, qui répond au pseudonyme Benkow et qui est basé à Paris, a découvert un serveur Web ouvert et accessible hébergé aux Pays-Bas. Ce serveur stocke des dizaines de fichiers texte contenant un énorme lot d'adresses e-mail, de mots de passe et de serveurs de messagerie utilisés pour envoyer des spams .
Des informations d’identification importantes pour un spambot dont l’opérateur veut lancer des campagnes de spamming à grande échelle tout en espérant contourner les filtres anti-spam.en envoyant des courriels via des serveurs de messagerie légitimes.
Baptisé “Onliner”, le spambot a servi à diffuser le malware bancaire Ursnif (un cheval de Troie de vol de données utilisé pour saisir des informations personnelles telles que les détails de connexion, les mots de passe et les données de carte de crédit) dans des boîtes e-mail à l’échelle internationale.
D’ailleurs, Benkow s’étonne de voir que les spambot sont souvent négligés par les chercheurs en sécurité : « Dans une campagne de cybercriminalité réussie, il existe différentes parties, la charge utile finale est importante, mais le processus de spam est également très critique. Certaines campagnes de logiciels malveillants, comme Locky, sont couronnées de succès également parce que le processus de spam fonctionne bien. Ce cas est un bon exemple. »
Il s’est empressé de faire un billet explicatif pour rappeler ce qu’est un spambot, pourquoi les escrocs les utilisent et pourquoi ils ont besoin d'une énorme liste d’identifiants
Dans le passé, il était plus facile pour les attaquants d'envoyer des spams de masse : ils devaient simplement scanner Internet pour trouver un serveur SMTP vulnérable (avec des mots de passe faibles ou en mode Open Relay) et les utiliser pour envoyer des spams.
Cependant, aujourd'hui, c'est plus compliqué. Il existe de nombreuses entreprises antispam, produits ou pare-feu. La plupart des relais ouverts sont listés sur la liste noire et les attaquants doivent trouver une autre façon d'envoyer des spams de masse.
Parmi les options disponibles, Benkow en retient en particulier deux :
PHP Mailer
Durant ses recherches, il a été le plus souvent confronté à des situations où les spammeurs se sont appuyés sur des sites Web compromis. Ce type de campagne de spam a été utilisée pour les attaques Andromeda.
Le principe est simple :
- Le spammeur hacke beaucoup (10k / 20k) de sites Web (via des vulnérabilités bien connues sur Wordpress, Joomla, OpenCart ou FTP/SSH bruteforce, etc.) ou achète l’accès à de nombreux sites Web sur un magasin aléatoire
- Il utilise ces sites Web pour héberger un script PHP chargé d'envoyer des emails.
- Il contrôle tous les sites via un logiciel ou un panneau Web et les utilise pour envoyer des spams.
En raison du nombre presque infini de sites Web périmés sur Internet, il est difficile de créer une liste noire de tous les sites Web et il est vraiment facile de les utiliser pour le spammeur.
Spammer via un malware
L'autre moyen le plus fréquent d'envoyer des spams est que l'attaquant crée ou achète un logiciel malveillant spécifique utilisé pour infecter les personnes et envoyer des spams. Plus l'attaquant infecte les personnes, plus il peut distribuer des spams à travers différentes adresses IP.
Cependant, une machine Windows infectée au hasard n'est pas nécessaire pour envoyer des spams. Pour cela, l'attaquant n’a besoin que de certaines informations d'identification du serveur de messagerie (SMTP). En effet, pour envoyer un spam, l'attaquant a besoin d'une énorme liste de références SMTP. Pour ce faire, il n'y a que deux options : la créer ou l’acheter. C’est le même principe que les adresses IP : plus il y a de serveurs SMTP, plus large peut être la campagne.
En clair, ces identifiants s’avèrent déterminants pour que le spammeur puisse mener à bien sa campagne.
Ces identifiants proviennent de diverses campagnes de phishing, de logiciels malveillants qui volent des identifiants (comme Pony) ou peuvent être achetés sur le Dark Web. Benkow assure qu’une partie de ces identifiants, qu’il a estimés à environ deux millions, provient de campagne de phishing sur Facebook. « Ceux que j’ai testés semblent marcher et ne figurent pas sur HIBP », a-t-il assuré.
Aussi, Benkow a contacté Troy Hunt, le spécialiste en sécurité derrière le site HIBP (Have I Been Pwned) qui alerte les utilisateurs sur les violations de comptes, pour lui faire parvenir la liste d’identification qu’il a obtenue de ce serveur ouvert. « La semaine dernière, j'ai été contacté par quelqu'un qui m'a alerté de la présence d'une liste de spam. Une grosse liste. C'est un terme plutôt relatif parce que j’ai déjà téléchargé de “grosses” listes de spam dans Have I Been Pwned (HIBP). Pourtant, la plus importante à ce jour comportait 393 millions d’entrées et provenait de River City Media. Celle sur laquelle j’écris aujourd’hui comporte 711 millions d’entrées, ce qui en fait l’ensemble de données le plus important que j'ai jamais téléchargé dans HIBP. Juste pour vous donner une idée de son importance, elle correspond à pratiquement une adresse pour chaque homme, femme et enfant dans toute l'Europe », a commenté Hunt.
Benkow a expliqué que les opérateurs du spambot se sont servis d’une technique de fingerprinting bien connue de la sphère marketing, pour obtenir un certain nombre d’informations.
Avant de commencer une nouvelle campagne, l'attaquant a utilisé le spambot pour envoyer ce type d'e-mails
« Si vous regardez attentivement le courrier électronique, vous verrez que dans ce spam aléatoire, il y a un 1x1 GIF caché. Cette méthode est bien connue dans l'industrie du marketing.
Code : Sélectionner tout - Visualiser dans une fenêtre à part
2
3
4
5
6
7
8
9
10
11
12
13IMG width=1 height=1 src="http://conceptcreationnv.com/2015/cgi-bin/{1|2|3|4|5|6|7|8|9}{1|2|3|4|5|6|7|8|9}{1|2|3|4|5|6|7|8|9}{1|2|3|4|5|6|7|8|9}{1|2|3|4|5|6|7|8|9}.gif?{email}" alt="mobile"> Hello, Champ {friend|champion\enthusiast}! How {are you|is your day}? {My name is|I'm} Natalia. Do you believe in {fate|destiny}? Love is inseparable fellow of hope. {Sorry for|Pardon} my English, but I hope you'll {understand|get} that I let my {passion|flame} speak for me. I wish you realize that it's not just some words - it's a faith that lies within my soul. I hope you won't leave it at just {cursory reading|skimming} of the letter, and will {see|recognize} my true feelings behind it. It like I'm sending you {piece|part} of my soul. It's really important to me! Because I'm looking for a serious man who's ready to build {meaningful|committed} {relationship|partnership}. I wanna go {on|through} a journey from a beautiful bride to a caring mother. I dream to meet {an honest|a sincere} man, who will take me to {mysterious|secret} {places|lands} and show me a whole new world. Don't give me your sympathy, give your feelings instead! I hope to see {through|in} your {response|answer} that your interest in me has a depth. Eagerly awaiting for your {letter|message} and {photos|pictures}! Bye-bye!
« En effet, lorsque vous ouvrez ce spam aléatoire, une demande avec votre IP et votre Agent utilisateur sera envoyée au serveur qui héberge le GIF. Avec ces informations, le spammeur est en mesure de savoir quand vous avez ouvert le courrier électronique, depuis quel endroit, mais aussi sur quel périphérique (iPhone, Outlook…).
« Dans le même temps, la demande permet également à l'attaquant de savoir que l’adresse mail est valide et que les gens ont ouvert des spams », a-t-il expliqué.
Vérifiez que votre compte n'en fait pas partie sur HIBP
Source : billet Benkow, billet Troy Hunt
Répondre avec citation
Partager