Spambot „Onliner“ prikupio stotine miliona ukradenih email adresa

Proverite da li se vaš email nalazi među 711 miliona ukradenih.

Spambot „Onliner“ prikupio stotine miliona ukradenih email adresa

Stručnjaci za sajber bezbednost su otkrili spambot Onliner koji je prikupio obilje ukradenih imejl adresa i kredencijala (login i lozinke), kao i kredencijala za podešavanje porta i SMTP-a za neke naloge. Radi se o cifri od 711 miliona ukradenih imejl adresa, kredencijala i ostalih informacija, odnosno ukupno oko 40 GB podataka. Jedan deo od ukupne cifre potiče iz nekih ranijih slučajeva kompromitovanja podataka (Linkedin, Badoo, Facebook), a veruje se da jedan deo potiče iz drugih phishing kampanja, kao i od malvera koji kradu kredencijale (npr. Pony malver) itd. Takođe, jedan broj imejl adresa vodi na nepostojeće naloge.

Šta je Spambot?

Spambot je program kreiran da pomaže u slanju spama (neželjene pošte). Spambotovi kreiraju naloge i šalju spam poruke sa njih. Spam proces odnosno spam kampanja je bitan deo uspešno sprovedene sajber kriminalne kampanje. Malver kampanje poput Locky ransomwarea su imale uspeha zato što je spam proces izveden perfektno.

Nekada je sajber kriminalcima bilo lako da izvedu masovne spam kampanje. Bilo je dovoljno da pronađu ranjive SMTP servere (sa slabim lozinkama ili one u Open Relay mode) i da ih iskoriste za slanje spama. Danas je situacija nešto komplikovanija za spamere. Postoje mnoge kompanije koje se bave antispamom, brojni proizvodi i firewalli. Većina open relay servera su na crnoj listi i napadači moraju da pronađu druge načine za slanje spama.

Dva su najčešća načina:

  1. PHP Mailer. U pitanju je korišćenje kompromitovanih sajtova za slanje spama. Ovako je recimo sprovedena velika spam kampanja Andromeda. Princip je sledeći: Spamer hakuje 10-20 hiljada sajtova preko poznatih ranjivosti u Wordpress, Joomla, OpenCart ili preko bruteforce FTP/SSH ili kupi pristup sajtovima na crnom tržištu. Na tim sajtovima hostuje PHP skriptu koja je zadužena za slanje imejlova. Sajtove kontroliše (i pokreće spam kampanje) ili pomoću softvera ili preko web panela.
  2. Malver spamer. Ovo je brutalniji način za slanje spama. Napadač dizajnira ili kupuje malver pomoću kojeg inficira računare i šalje spam. Što više računara zarazi, više spama može da distribuira putem različitih IP adresa. Međutim, obična Windows mašina nije dovoljna za slanje spama. Za to je napadaču potrebna i velika lista SMTP (imejl server) kredencijala. Kredencijale može da pribavi hakovanjem ili može da ih kupi. Što više SMTP servera kontroliše, više spama može da distribuira.

Šta sve Onliner može da (is)koristi?

Za phishing kampanje ovom spambotu je dovoljno da upotrebi samo imejl adrese, bez kredencijala. Takođe, Onliner može da iskoristi ukradene kredencijale da preuzme kontrolu nad imejl nalogom koji će dalje koristiti za spamovanje i phishing. Zatim, ukradene informacije o SMTP i port podešavanjima korisnika mogu napadačima pomoći da nasamare sistem za detekciju spama (antispam sistem) koji će onda dozvoliti prolaz spam porukama.

Onliner je u opticaju od prošle godine i „zaslužan“ je za distribuciju Ursnif bankarskog trojanca.

Šta treba preduzeti?

Proverite na sajtu haveibeenpwned.com da li je vaša imejl adresa kompromitovana u nekom od napada i ako jeste, promenite lozinku.