Un chercheur a découvert une liste de centaines de millions d’adresses mail, dont une petite partie associée à des identifiants et des serveurs SMTP. Cette base sert de source à des campagnes de spams et de diffusion du malware bancaire Ursnif.
Les spams sont un vecteur classique de propagation de programmes malveillants. Mais il est de plus en plus compliqué à mettre en œuvre, les clients de messagerie améliorant leur protection et leurs filtres anti-spam. Les spammeurs sont donc contraints d’employer des moyens détournés. Benkow, un chercheur en sécurité informatique parisien, enquêtait sur le malware bancaire Ursnif et sur son vecteur d’infection, Onliner Spambot, quand il est tombé sur une bien belle base de données.
Grâce à un répertoire ouvert sur le serveur Command & Control d’Onliner Spambot, le chercheur a pu mettre la main sur le « trésor » des spammeurs. 40 Go de données, 711 millions d’adresses mails, dont 80 millions reliées à un mot de passe et à un serveur SMTP. Jackpot ! Dans un tweet, Troy Hunt assure « n’avoir jamais vu une liste de données aussi grande ».
Ces données d’identification ont pu être dérobées lors de précédentes campagnes, issues de divers piratages de « gros » sites, à l’instar de LinkedIn ou Yahoo! Mail ou encore rachetées. Ces 80 millions de comptes « complets » ont pour but de contourner les filtres anti-spams, les mails émis par lesdits comptes étant considérés comme authentifiés et légitimes. Ils serviront à spammer les 631 millions d’adresses mails restantes.
Try and catch
Le spammer va d’abord tester chaque adresse de sa liste, en envoyant une vague de mails contenant un gif de 1x1 pixel. Une fois le mail ouvert, une requête contenant l’IP et l’User-Agent de l’internaute est transmise au serveur hébergeant le gif, permettant à l’auteur du spam de savoir quand le mail a été ouvert, où, depuis quel terminal, avec quel logiciel… et accessoirement que l’adresse est valide. Ce qui lui permettra de cibler sa campagne de propagation du malware Ursnif.
Troy Hunt a traité les données et les a intégrées à la base de son moteur Have I Been Pwned, que nous vous conseillons d’utiliser afin de vous assurer que vous n’êtes pas dans la liste. Le chercheur précise que 27% des adresses se trouvaient déjà dans sa base de données, preuve qu’elles proviennent de précédents hacks.