Un chercheur en sécurité parisien connu sous le pseudonyme Benkow a découvert un serveur Web ouvert hébergé aux Pays-Bas, avec des dizaines de milliers d’adresses mails et des outils d’envoi de spam massif.
Le serveur en question héberge des dizaines de fichiers texte contenant des listes massives d’adresses mail, de mots de passe et de serveurs de messagerie (SMTP et port) utilisés pour envoyer des spams à très grand échelle, tout en essayant de passer outre les filtres anti-spam et les pare-feu en exploitant les serveurs de messagerie légitimes liés à chacun des mails. Les listes seraient tirées de fuites de données massives antérieures.
Le spambot est baptisé “Onliner” et son rôle est actuellement de diffuser massivement le malware bancaire Ursnif, qui se défini comme un cheval de Troie (trojan bancaire) dédié au vol des données bancaires à l’échelle internationale. Pour c’infection, une image piégée est envoyée et permet de cibler la victime vulnérable au malware via son adresse IP et l’identifiant de l’OS installé sur sa machine (seul les PC sous Windows sont vulnérables à Ursnif).
Troy Hunt, qui gère le site Have I been Pwned (service sur lequel vous pouvez par ailleurs vérifier si votre e-mail est concernée par cette campagne de spam malveillante), estime que 27 % des adresses mails contenues dans les fichiers identifiés par Benkow étaient déjà présentes dans ses bases de données. Il a fait une mise à jour permettant de rechercher les nouvelles adresses dans ce qu’il estime être l’un des plus gros ajouts jamais réalisés sur son site.
Benkow estime que la campagne pourrait avoir infecté plus de 100 000 ordinateurs dans le monde.
Source : Developpez.com