Los investigadores Troy Hunt y Benkow moʞuƎq han descubierto a través de un correo de spam un componente malicioso, localizado en una IP holandesa, que contaba con un gran numero de archivos con información personal. Un total de 711 millones de e-mails con sus correspondientes contraseñas se encuentran comprometidas. La información se ha añadido al sitio web haveibeenpwned para comprobar si tu cuenta de correo se encuentra afectada.
 |
| Formato de los correos encontrados en el volcado. |
Antiguamente hacer envíos de spam en masa era mucho mas sencillo. Los atacantes buscaban servidores SMTP vulnerables con contraseñas débiles y los utilizaban para enviar spam. Sin embargo, hoy en día existen cientos de empresas y firewalls dedicados a frenar el spam en la red. Además, estos servidores comprometidos se encuentran en una blacklist por lo que no son viables para dicha tarea.
A pesar de esto, existen dos metodos populares hoy en día:
El primer método es hacer uso de un mailer en PHP en servidores web comprometidos:
- El atacante escanea cientos de sitios web hasta dar con varios miles de servidores vulnerables o los compra en el mercado negro.
- Utiliza un script en PHP encargado de hacer el envio fraudulento
- Todos los servidores estan sincronizados y monitorizados por un panel oculto.
El segundo método es a través de malware. Este metodo consiste en hacer un software malicioso haga de servidor SMTP permitiendo el envio de correos maliciosos. Cuantos más dispositivos sea capaz de comprometer el atacante, mayor cantidad de spam será capaz de enviar.
En resumidas cuentas, los atacantes cuentan con dos opciones: Crear su servidores SMTP o comprarlos.
En la última campaña de Ursnif el atacante el atacante se dejó por error un directorio expuesto perteneciente al Command and Control del spammer. En este directorio, existían más de 40GB en e-mails. Entre ellos, se incluyen:
- Credenciales email: contraseña en texto plano.
- Enorme lista de correos electrónicos.
- Configuración del spambot.
 |
| Infraestructura de un spambot |
Si quieres comprobar si te encuentras afectado por este volcado, puedes hacerlo introduciendo tu dirección de correo electrónico en haveibeenpwned.com
Fernando Díaz
fdiaz@hispasec.com
Mas información:
From Onliner Spambot to millions of email’s lists and credentialshttps://benkowlab.blogspot.com.es/2017/08/from-onliner-spambot-to-millions-of.html
Inside the Massive 711 Million Record Onliner Spambot Dumphttps://www.troyhunt.com/inside-the-massive-711-million-record-onliner-spambot-dump/
Deja una respuesta