711 millions d’adresses email piégées par un spambot

C'est peut-être la campagne de spam la plus étendues qui n'ait jamais été découverte et elle est particulièrement sournoise. Elle utilise de véritables adresses email et de véritables mots de passe pour spammer en utilisant des serveurs réels et certifiés afin de passer outre les filtres anti-spam des principaux services de messagerie.

C'est le chercheur en sécurité informatique parisien connu sous le pseudonyme Benkow qui l'a découverte, comme le relate le site Zdnet. Plus d'une centaine de milliers d'ordinateurs pourraient ainsi avoir été infectés.

Contourner les filtres antispam pour délivrer un malware


Le problème des hackers est le suivant : lorsqu'un serveur est identifié comme envoyant des spams, il est blacklisté par les filtres ce qui empêche la campagne de spam de réussir. Mais Benkow a découvert un serveur basé aux Pays-Bas qui aurait ciblé près de 711 millions d'adresses emails dans le monde pour infecter des ordinateurs avec le malware Ursnif. Celui-ci vise à collecter les données bancaires des victimes.

Comme le relate Zdnet, ce ne sont pas moins de 80 millions d'adresses emails qui ont été utilisées par ce nouveau spambot. Cette liste a été établie sur la base des fuites de données, adresse email et mots-de-passe, de divers sites majeurs comme le piratage de LinkedIn et celui de Badoo. Grâce aux données collectées, qui comprennent le serveur SMTP et le port utilisé, le spambot peut alors envoyer son mail infecté sans risquer de tomber dans les filtres antispam.

Spam hero


630 millions d'adresses mail ciblées et plus de 100.000 infections


Une fois la connexion réussie, le spambot va envoyer son malware à près de 630 millions d'adresses email. Plus précisément, c'est une image piégée qui est envoyée : lorsque le mail est ouvert par la victime ce malware caché va envoyer l'adresse IP de l'ordinateur ainsi que l'identification de l'OS de l'utilisateur. Le hacker peut alors cibler les ordinateurs sous Windows, les seuls vulnérables au malware bancaire Ursnif.

Troy Hunt, qui gère le site Have I been Pwned, estime que 27 % des adresses mails contenues dans les fichiers identifiés par Benkow étaient déjà présentes dans ses bases de données. Il a fait une mise à jour permettant de rechercher les nouvelles adresses dans ce qu'il estime être l'un des plus gros ajouts jamais réalisés sur son site.

Au total, grâce à cette technique de spam massif permettant de cibler les OS vulnérables à Ursnif, Benkow estime que la campagne pourrait avoir infecté plus de 100.000 ordinateurs dans le monde. Une fois les adresses ciblées identifiées, le hacker envoie le vrai malware contenu dans un fichier Javascript infecté qui outrepasse ainsi les filtres antispam.

Modifié le 30/08/2017 à 09h49
Commentaires