新闻快讯
< >

垃圾邮件恶意程序“Onliner”瞄准7.11亿电子邮件账户

E安全9月1日讯 巴黎安全研究人员Benkow率先发现身份不明的黑客攻击了荷兰一台开放访问的服务器,该服务器的7.11亿个电子邮件账户数据被泄。这是Have I Been Pwned(知名搜索数据库)上收录的迄今为止泄露的最大的数据量,之前的记录是River City Media数据泄露,当时该事件曾造成的3.93亿条电子邮件数据泄露。

泄露事件的过程及细节

垃圾邮件发送者可利用这些电子邮件凭证通过合法电子邮件服务器发送电邮绕过垃圾邮件过滤器,从而大规模传播恶意软件。

Benkow提醒Have I Been Pwned的安全专家特洛伊·亨特注意。亨特8月30日发表博文称,Benkow向他解释了如何定位到垃圾邮件程序“Onliner”使用的设备,并向他提供了IP地址路径(位于荷兰)查看以下目录:

垃圾邮件恶意程序“Onliner”瞄准7.11亿电子邮件账户-E安全

这个目录包含两类重要的数据:

  • 电子邮箱:大量电子邮箱地址用于传送垃圾邮件。

  • 电子邮箱和密码:Benkow解释称这些凭证可滥用邮箱所有者的SMTP服务器传送垃圾邮件。Benkow认为其中许多凭证来自其它数据泄露事件。

亨特的电子邮箱也在泄露之列:

Hacker gathers 711 million email  - C   - 副本675.png

这里显示亨特的国家代码为英国,然而实际上并非如此,由此可见,邮件地址存疑。

含“NewFile_”前缀的其中一个文件包含超过4.3万行电子邮箱地址与澳大利亚道路与海事服务厅(Roads and Maritime Services)有关:

垃圾邮件恶意程序“Onliner”瞄准7.11亿电子邮件账户-E安全

每行均包含RMSETollDontReply@rms.nsw.gov.au,后面带有“support@”,大部分域名为.com.au,但也有1.3万个.ru(俄罗斯域名)域名。这些电子邮箱地址被用来发送与电子路桥费缴费器“E-Tag”相关的通知。亨特就曾收到此类垃圾邮件:

垃圾邮件恶意程序“Onliner”瞄准7.11亿电子邮件账户-E安全

亨特认为,通过俄罗斯电子邮箱地址使用新南威尔士州道路收费系统的合法司机不会很多,很显然,这些账户常量是自动生成的。亨特之前看到过类似的B2B USA Businesses垃圾邮件列表,有关评论如下:

垃圾邮件恶意程序“Onliner”瞄准7.11亿电子邮件账户-E安全

这些数据中还包含一些很差的解析数据,例如以下数据,并且还出现了两次:

Employees-bringing-in-their-own-electrical-appliances.htmlmark.cornish@bowelcanceruk.org.uk。

垃圾邮件恶意程序“Onliner”瞄准7.11亿电子邮件账户-E安全

垃圾邮件恶意程序“Onliner”瞄准7.11亿电子邮件账户-E安全

此外,有一个以数字命名的文件还包含120万行如下数据:

垃圾邮件恶意程序“Onliner”瞄准7.11亿电子邮件账户-E安全

亨特随机选择其中十几个不同的电子邮箱地址发现,其中的地址属于LinkedIn被泄的数据。

另外还有一个文件包含超过3000条电子邮箱、密码、SMTP服务器和端口(25和587都是常见SMTP端口)记录:

垃圾邮件恶意程序“Onliner”瞄准7.11亿电子邮件账户-E安全

此外,有些文件中还包含相当混乱的数据,似乎文件名包含SQL:

垃圾邮件恶意程序“Onliner”瞄准7.11亿电子邮件账户-E安全

这台服务器似乎与恶意软件Ursnif有关。亨特不止发现电子邮箱地址,还发现几千个电子邮箱/密码组合,以及SMTP服务器设置。

Benkow解释称,要发送垃圾邮件,攻击者需要大量SMTP登录凭证,攻击者要么创建,要么就得购买,一般SMTP凭证收集完成,就可以注入垃圾邮件程序(Spambot),而这个特殊的垃圾邮件程序被称为“Onliner”,该程序至少自2016年开始活动。

8000万SMPT登录凭证有效

Onliner使用荷兰这台开放的服务器将Ursnif恶意软件传送至全球的电子邮箱。Ursnif因窃取大量软件和浏览器的数据而臭名昭著,尤其银行业面临的攻击风险最大。Onliner获取了7.11亿个SMPT登录凭证,包括电子邮箱地址、密码和电子邮件服务器,其中8000万个凭证仍有效,并用来攻击余下的6.31亿个账号,以绕过反垃圾邮件软件。

据称,存在问题的电子邮箱包含肉眼无法看见的1x1像素的GIF图片。

Benkow警告称,当用户打开垃圾邮件时,用户的IP地址和用户代理请求会被发送至托管GIF图片的服务器。垃圾邮件发送者需了解三件事:首先是用户已经打开了电子邮件,其次,用户在哪里打开的电子邮件,以及用户在哪台设备上打开了电子邮件。攻击者还会收到电子邮箱地址有效的确认信息。

垃圾邮件恶意程序“Onliner”瞄准7.11亿个电子邮件账户-E安全

你的电子邮件账号信息泄露了吗?

这起泄露事件中的数据量“令人难以置信”,Have I Been Pwned现在已经将这些电子邮箱纳入搜索数据库,用户可查看自己的账号是否在数据泄露事件中被泄,查询入口请戳

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com

@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。