Trik垃圾郵件殭屍網路泄露4300萬電子郵件地址

來自專欄嘶吼RoarTalk4 人贊了文章

近日,來自Vertek公司的一名安全研究人報告稱,已經有超過4300萬個電子郵件地址從垃圾郵件殭屍網路的命令和控制(C&C)伺服器中泄露。

據悉,Vertek公司的這名威脅情報分析師是在研究最近發布的一個Trik木馬版本惡意軟體活動時,發現了這一大規模的數據泄露現象。據研究人員介紹,這個最近發布的Trik木馬版本通過第二階段的有效載荷——即GandCrab 3 勒索軟體,來感染用戶。

Vertek研究人員發現,Trik和GandCrab能夠下載惡意文件,並從位於俄羅斯某個IP地址上的網路伺服器感染用戶系統。但是,實施該操作背後的惡意人員錯誤配置了其伺服器,所以,才會導致伺服器內容可供任何能夠直接訪問該IP地址的人員查看。

在這臺伺服器上,研究人員找到了2201個文本文件,這些文件從1.txt到2201.txt按照順序整齊標記,其中每個文件均包含大約20,000個電子郵件地址信息。

Vertek的研究人員認為,該伺服器背後的運營商一直在使用這些收件人列表,來為其它訂閱其服務的犯罪分子通過垃圾郵件活動傳播各種惡意軟體。

伺服器泄露43,555,741個唯一的電子郵件地址

研究人員表示,

我們已經將這些地址都提取了出來,以驗證它們是否唯一且合法。結果證實,在這44,020,000個潛在地址中,共有43,555,741個地址是唯一的。

目前,該研究人員正在與澳大利亞安全專家Troy Hunt(Have I Been Pwned服務所有者)合作,以確定這些電子郵件地址中有多少是新的,以及有多少電子郵件地址曾出現在其它數據泄露事件中。研究人員指出,

這些電子郵件地址來自世界各地。擁有唯一郵件域名共計460萬個,包括.gov、.com,以及多個私營企業的域名等。

研究人員分析這些文件後,已經按域名將所有電子郵件地址歸了類。在其公佈的一份名單中(附在文末),他指出,絕大多數電子郵件地址都是之前泄露過的,而且它們大多屬於老牌電子郵件服務,如雅虎(1060 萬個)以及 AOL(830萬個)。

令人驚訝的是,雖然此次泄露事件中包含許多自定義電子郵件域名,但卻很少能看見Gmail地址,這就意味著,這些電子郵件地址資料庫可能並不完整,或者是這起惡意軟體活動專門針對使用老舊電子郵件服務的用戶。

Trik木馬病毒

Trik木馬是一款典型的惡意軟體下載器。它能夠感染計算機並將它們組建成一個龐大的殭屍網路。該殭屍網路背後的運營商利用這些計算機發送新的垃圾郵件活動,或者向其他犯罪分子出售「安裝空間」,從而為受害者造成更有力的威脅,這與他們將「安裝空間」租賃給GandGrab團夥用於Vertek發現的惡意活動類似。

據Proofpoint報告稱,Trik木馬已經至少活躍了10年之久,但最近纔再次出現了復甦跡象。在早期階段,Trik木馬主要是作為蠕蟲通過可移動USB存儲設備、Skype或Windows Live Messenger聊天軟體進行自我傳播。這些基於蠕蟲的變體此前被稱為「Phorpiex」。

經過幾年的發展,該惡意軟體已經成為一個完全成熟的木馬程序,當時它甚至fork了SDBot木馬的代碼庫,並開始通過垃圾電子郵件活動作為其主要的傳播和感染機制,同時還將自身體系結構切換為受IRC控制的殭屍網路體系結構。

事實上,Trik並不是第一個泄露自身電子郵件地址資料庫的垃圾郵件殭屍網路。早在2017年8月,被稱為「Onliner」的垃圾郵件活動,就已經泄露了用於發送垃圾電子郵件的711個郵件地址。

在撰寫本文時(美國時間6月12日上午11:22),泄露電子郵件地址的Trik命令和控制伺服器正處於間歇性離線狀態。

被泄數據中包含的前10個郵件域名:

· 8907436yahoo.com

· 8397080aol.com

· 788641 comcast.net

· 433419 yahoo.co.in

· 432129 sbcglobal.net

· 414912 msn.com

· 316128 rediffmail.com

· 294427 yahoo.co.uk

· 286835 yahoo.fr

· 282279 verizon.net

本文翻譯自:bleepingcomputer.com/ne securityaffairs.co/word如若轉載,請註明原文地址: 4hou.com/web/12089.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

相關文章