Siamo ormai abituati a convivere con la tecnologia tanto da memorizzare sui nostri device, foto, password, dati bancari dimenticandoci che gli attacchi hacker sono sempre più diffusi e pericolosi per la nostra privacy. Un ricercatore di sicurezza di Parigi, noto su internet con lo username "Benkow", ha scoperto un server web in Olanda che viene utilizzato per memorizzare dozzine di file di testo, contenenti milioni di dati personali tra cui indirizzi e-mail, password e server di posta elettronica.
Queste credenziali sono fondamentali per effettuare un attacco spamming su larga scala riuscendo ad aggirare i filtri anti-spam e inviando email tramite legittimi server di posta elettronica. Lo spambot soprannominato "Onliner", viene utilizzato per inviare il banking malware "Ursnif" nelle caselle di posta in tutto il mondo.
Attualmente questo virus ha infettato più di 100 mila computer.
Troy Hunt che gestisce il sito "Have i Been Pwned" ha analizzato tutti i dati e gli ha definiti la più grande compromissione che ha caricato sul suo sito. Collegandosi al suo sito si può verificare se il proprio account di posta elettronica è stato compromesso.
Tecniche di spamming
Benkow che ha riportato le sue scoperte in un post sul blog, ha trascorso mesi ad analizzare il funzionamento del malware "Ursnif", un trojan che ruba informazioni personali quali username, password e dati della carta di credito.
In genere, uno spammer invia un file "dropper" come allegato di posta elettronica e quando viene aperto, il malware scarica da un server e infetta il computer "vittima".
Attualmente lo spamming è ancora un metodo efficace per la consegna di malware ma i filtri di posta elettronica sono diventati sempre più intelligenti, riuscendo a identificare i domini compromessi e inserendoli in blacklist. Tuttavia, la campagna "Onliner" dello spammer utilizza un'installazione più complessa e sofisticata per ignorare i filtri anti-spam.
Per inviare lo spam, l'hacker ha bisogno di un enorme elenco di credenziali SMTP che autentificano lo spammer facendo sembrare tutte le email inviate legittime. L'elenco dei server ha circa 80 milioni di record e in ogni riga contiene l'indirizzo e-mail e la password, insieme al server SMTP e alla porta utilizzata per inviare l'attacco tramite email.
Lo spammer prova ogni voce collegandosi al server per assicurare che le credenziali siano valide e che lo spam possa essere inviato.
80 milioni di server di posta elettronica vengono quindi utilizzati per inviare i rimanenti 630 milioni di indirizzi di posta elettronica. Queste email sembrano abbastanza innocue ma contengono un'immagine nascosta in un pixel. Quando l'email è aperta, l'immagine pixel riporta l'indirizzo IP e le informazioni relative agli utenti, utilizzati per identificare il tipo di computer, sistema operativo e altre informazioni relative al dispositivo.
Questo aiuta l'hacker a identificare correttamente il bersaglio per diffondere il malware di "Ursnif" scartando a priori i dispositivi non infettabili. Come detto, il sistema è intelligente e ignora gli account che non funzionano.