Un spambot s'appuie sur 711 millions d'entrées pour diffuser le malware bancaire Ursnif
Vérifiez que votre compte n'en fait pas partie

Le , par Stéphane le calme, Chroniqueur Actualités
Un chercheur en sécurité, qui répond au pseudonyme Benkow et qui est basé à Paris, a découvert un serveur Web ouvert et accessible hébergé aux Pays-Bas. Ce serveur stocke des dizaines de fichiers texte contenant un énorme lot d'adresses e-mail, de mots de passe et de serveurs de messagerie utilisés pour envoyer des spams .

Des informations d’identification importantes pour un spambot dont l’opérateur veut lancer des campagnes de spamming à grande échelle tout en espérant contourner les filtres anti-spam.en envoyant des courriels via des serveurs de messagerie légitimes.

Baptisé “Onliner”, le spambot a servi à diffuser le malware bancaire Ursnif (un cheval de Troie de vol de données utilisé pour saisir des informations personnelles telles que les détails de connexion, les mots de passe et les données de carte de crédit) dans des boîtes e-mail à l’échelle internationale.

D’ailleurs, Benkow s’étonne de voir que les spambot sont souvent négligés par les chercheurs en sécurité : « Dans une campagne de cybercriminalité réussie, il existe différentes parties, la charge utile finale est importante, mais le processus de spam est également très critique. Certaines campagnes de logiciels malveillants, comme Locky, sont couronnées de succès également parce que le processus de spam fonctionne bien. Ce cas est un bon exemple. »

Il s’est empressé de faire un billet explicatif pour rappeler ce qu’est un spambot, pourquoi les escrocs les utilisent et pourquoi ils ont besoin d'une énorme liste d’identifiants

Dans le passé, il était plus facile pour les attaquants d'envoyer des spams de masse : ils devaient simplement scanner Internet pour trouver un serveur SMTP vulnérable (avec des mots de passe faibles ou en mode Open Relay) et les utiliser pour envoyer des spams.

Cependant, aujourd'hui, c'est plus compliqué. Il existe de nombreuses entreprises antispam, produits ou pare-feu. La plupart des relais ouverts sont listés sur la liste noire et les attaquants doivent trouver une autre façon d'envoyer des spams de masse.

Parmi les options disponibles, Benkow en retient en particulier deux :


PHP Mailer

Durant ses recherches, il a été le plus souvent confronté à des situations où les spammeurs se sont appuyés sur des sites Web compromis. Ce type de campagne de spam a été utilisée pour les attaques Andromeda.

Le principe est simple :
  • Le spammeur hacke beaucoup (10k / 20k) de sites Web (via des vulnérabilités bien connues sur Wordpress, Joomla, OpenCart ou FTP/SSH bruteforce, etc.) ou achète l’accès à de nombreux sites Web sur un magasin aléatoire
  • Il utilise ces sites Web pour héberger un script PHP chargé d'envoyer des emails.
  • Il contrôle tous les sites via un logiciel ou un panneau Web et les utilise pour envoyer des spams.

En raison du nombre presque infini de sites Web périmés sur Internet, il est difficile de créer une liste noire de tous les sites Web et il est vraiment facile de les utiliser pour le spammeur.

Spammer via un malware

L'autre moyen le plus fréquent d'envoyer des spams est que l'attaquant crée ou achète un logiciel malveillant spécifique utilisé pour infecter les personnes et envoyer des spams. Plus l'attaquant infecte les personnes, plus il peut distribuer des spams à travers différentes adresses IP.

Cependant, une machine Windows infectée au hasard n'est pas nécessaire pour envoyer des spams. Pour cela, l'attaquant n’a besoin que de certaines informations d'identification du serveur de messagerie (SMTP). En effet, pour envoyer un spam, l'attaquant a besoin d'une énorme liste de références SMTP. Pour ce faire, il n'y a que deux options : la créer ou l’acheter. C’est le même principe que les adresses IP : plus il y a de serveurs SMTP, plus large peut être la campagne.

En clair, ces identifiants s’avèrent déterminants pour que le spammeur puisse mener à bien sa campagne.


Ces identifiants proviennent de diverses campagnes de phishing, de logiciels malveillants qui volent des identifiants (comme Pony) ou peuvent être achetés sur le Dark Web. Benkow assure qu’une partie de ces identifiants, qu’il a estimés à environ deux millions, provient de campagne de phishing sur Facebook. « Ceux que j’ai testés semblent marcher et ne figurent pas sur HIBP », a-t-il assuré.

Aussi, Benkow a contacté Troy Hunt, le spécialiste en sécurité derrière le site HIBP (Have I Been Pwned) qui alerte les utilisateurs sur les violations de comptes, pour lui faire parvenir la liste d’identification qu’il a obtenue de ce serveur ouvert. « La semaine dernière, j'ai été contacté par quelqu'un qui m'a alerté de la présence d'une liste de spam. Une grosse liste. C'est un terme plutôt relatif parce que j’ai déjà téléchargé de “grosses” listes de spam dans Have I Been Pwned (HIBP). Pourtant, la plus importante à ce jour comportait 393 millions d’entrées et provenait de River City Media. Celle sur laquelle j’écris aujourd’hui comporte 711 millions d’entrées, ce qui en fait l’ensemble de données le plus important que j'ai jamais téléchargé dans HIBP. Juste pour vous donner une idée de son importance, elle correspond à pratiquement une adresse pour chaque homme, femme et enfant dans toute l'Europe », a commenté Hunt.

Benkow a expliqué que les opérateurs du spambot se sont servis d’une technique de fingerprinting bien connue de la sphère marketing, pour obtenir un certain nombre d’informations.

Avant de commencer une nouvelle campagne, l'attaquant a utilisé le spambot pour envoyer ce type d'e-mails

Code : Sélectionner tout
1
2
3
4
5
6
7
8
9
10
11
12
13
IMG width=1 height=1 src="http://conceptcreationnv.com/2015/cgi-bin/{1|2|3|4|5|6|7|8|9}{1|2|3|4|5|6|7|8|9}{1|2|3|4|5|6|7|8|9}{1|2|3|4|5|6|7|8|9}{1|2|3|4|5|6|7|8|9}.gif?{email}" alt="mobile">
Hello, Champ {friend|champion\enthusiast}! How {are you|is your day}?
{My name is|I'm} Natalia. Do you believe in {fate|destiny}?
Love is inseparable fellow of hope. {Sorry for|Pardon} my English, but I hope you'll {understand|get} that I let my {passion|flame} speak for me.
I wish you realize that it's not just some words - it's a faith that lies within my soul.
I hope you won't leave it at just {cursory reading|skimming} of the letter, and will {see|recognize} my true feelings behind it.
It like I'm sending you {piece|part} of my soul. It's really important to me!
Because I'm looking for a serious man who's ready to build {meaningful|committed} {relationship|partnership}.
I wanna go {on|through} a journey from a beautiful bride to a caring mother.
I dream to meet {an honest|a sincere} man, who will take me to {mysterious|secret} {places|lands} and show me a whole new world.
Don't give me your sympathy, give your feelings instead!
I hope to see {through|in} your {response|answer} that your interest in me has a depth. Eagerly awaiting for your {letter|message} and {photos|pictures}!
Bye-bye!
« Si vous regardez attentivement le courrier électronique, vous verrez que dans ce spam aléatoire, il y a un 1x1 GIF caché. Cette méthode est bien connue dans l'industrie du marketing.

« En effet, lorsque vous ouvrez ce spam aléatoire, une demande avec votre IP et votre Agent utilisateur sera envoyée au serveur qui héberge le GIF. Avec ces informations, le spammeur est en mesure de savoir quand vous avez ouvert le courrier électronique, depuis quel endroit, mais aussi sur quel périphérique (iPhone, Outlook…).

« Dans le même temps, la demande permet également à l'attaquant de savoir que l’adresse mail est valide et que les gens ont ouvert des spams », a-t-il expliqué.

Vérifiez que votre compte n'en fait pas partie sur HIBP

Source : billet Benkow, billet Troy Hunt


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de fadace fadace - Rédacteur/Modérateur https://www.developpez.com
le 06/09/2017 à 13:35
Un peu nul ce test : ca détermine juste que votre email fait partie des emails qui ont été piratés durant la période... par conte, bien que vous ayez changé votre mot de passe dès la détection de la brêche et qu'aucun dommage n'ait été commis avec ledit compte, vous restez pour toujours un compte "piraté"...
Avatar de YlianEstevez YlianEstevez - Nouveau membre du Club https://www.developpez.com
le 19/09/2017 à 11:14
En effet, le test est un peu attrape nigaud. Mais il a le mérite d'attirer les lecteurs déjà intrigué par le coté anxiogène de l'article. Ceci dit, c'est plutôt un bien de rappeler les différentes techniques employées par véhiculer les spams.
Offres d'emploi IT
Ingénieur de Production / Intégration
L'Oiseau Rare - Ile de France - Paris
Développeur Backend
Adveez - Midi Pyrénées - Toulouse (31000)
Developpeur C++
KAÏNA-COM - Ile de France - Ile de France - Salaire à négocier

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil