SecurityWorldMarket

24.10.2019

Sender ubevisst utpressings-epost til 27 millioner mennesker

E-postmeldinger i dette angrepet starter med passordet for å sjokkere offeret.

Check Point-forskere eksponerer Botnet som bruker vanlige mennesker til ubevisst å sende 30 000 sextortion e-poster per time

Forskere hos Check Point, oppdaget “hvordan” sextortion-kampanjer foregår. Sextortion er når en person mottar en utpressnings e-post og truer med å eksponere seksuelt innhold som er fanget vanligvis via sitt eget webkamera. Gjennom et fem måneders forskningsprosjekt eksponerte forskere fra Check Point en veldig stor, "normal" skadelig programvare som bruker sine infiserte ofre til å ubevisst sende sextortions-e-post som massepost på en maskinbasert fremgangsmåte. Den enorme hastigheten og volumet av e-postmeldinger som genereres er svimlende.

Den skadelige programvaren kalles Phorpiex. Phorpiex har vært aktivt i rundt ti år og har smittet over 450 000 vertsmaskiner - og antallet vokser raskt. I det siste tjente Phorpiex mest ved å distribuere forskjellige andre skadevarefamilier og brukte vertene sine til å utvinne cryptovaluta, men nylig har vi sett at Phorpiex har lagt til en ny form for inntektsgenerering: en spam-bot som ble brukt til å drive sextortion-kampanjer i stor skala, større enn vi noen gang har sett.

Hvordan

Phorpiex bruker en spam-bot som laster ned en database med e-postadresser fra en C & C-server. Det som skjer videre er at en e-postadresse er tilfeldig valgt fra den nedlastede databasen, og en melding er satt sammen fra flere hardkodede strenger. Spamboten kan produsere en astronomisk stor mengde sextortions-e-poster: spam-bot oppretter totalt 15 000 tråder for å sende spam-meldinger fra en database. Hver tråd tar en tilfeldig linje fra den nedlastede filen. Den neste databasefilen lastes ned når alle spamtråder er ferdige. Hvis vi vurderer forsinkelsene, kan vi anslå at bot klarer å sende rundt 30 000 e-poster på en time. Og hver enkelt sextortion-kampanje kan dekke opptil 27 millioner potensielle ofre. Phorpiex bruker databaser med lekkede passord i kombinasjon med e-postadresser. Passordet til et offer er vanligvis inkludert i en e-postmelding for å gjøre det mer overbevisende, noe som viser at passordet deres er kjent for hackeren. 

For å sende e-post bruker Phorpiex en enkel implementering av SMTP-protokollen. Adressen til SMTP-server er avledet fra domenenavnet til en e-postadresse. Etter å ha opprettet en forbindelse til SMTP-serveren og mottatt en invitasjonsmelding, sender spamboten en melding med sin egen eksterne IP-adresse.

Bitcoin-lommebøker brukes til å samle inntekter

Check Point registrerte i løpet av fem måneder overføringer av mer enn 11 BTC til lommebøkene til Phorpiex sextortion. Det faktiske inntektsnummeret som samles inn er sannsynligvis mer betydelig, siden Check Point ikke overvåket sekstortionskampanjene i årene før.

  • Hvem som helst kan være en av de vanlige menneskene som blir utnyttet som en trusselvektor.
  • Botnet omgår Gmail, Outlook eller annet som etterlater spor.
  • Lekkede passord blir brukt i forbindelse med e-postadresser for å skremme uskyldige mottakere.
  • Bitcoin lommebøker brukes til å samle inntekter.


Leverandører
Tilbake til toppen