Novi spam-bot Onliner krade podatke korisnika putem mejl adresa
Novi spam-bot, Onliner, može da zaobiđe spam filtere, te tako e-mejl adrese učini ranjivim na poruke koje su potencijalni nosioci različitih “zlonamernih” softvera. Ovaj bot se pre svega koristi kako bi se malver Ursnif infiltrirao u Windows kompjutere, koji su na njega osetljivi. Trojanski virus tako ima mogućnost da od korisnika krade lozinke, podatke o kreditnim karticama, te druge lične podatke. Kada korisnici otvore mejlove, te kliknu na attachment koji omogućava skidanje malvera na korisnički kompjuter, automatski postaju žrtve napada. Spam mejlovi mogu da izgledaju kao poruke koje korisnicima šalje vlada matične države, rezervacije za hotelske sobe, te DHL (globalni tržišni lider u logistici) notifikacije.
Bot je otkriven kada je stručnjak za sigurnost na internetu, poznatiji pod imenom Benkow, pronašao otvoreni web direktorijum na serveru koji koristi Onliner. Tako ovaj bot može da zloupotrebljava i podatke koji su procureli posle nekih prethodnih sigurnosnih propusta – na primer prilikom napada na LinkedIn 2012. godine.
Da bi uspeo da pošalje spam, Onliner mora da ga serveru predstavi kao običan mejl. Benkow je uspeo da dođe do 40GB podataka o spamovima, koji uključuju i mejl adrese, lozinke, te konfiguracione fajlove. Što više SMTP (Simple Mail Transfer Protocol) servera bot uspe da pronađe, to će imati pristup većem broju mejl adresa. Do sada je došao do podataka za 80 miliona mejl naloga, preko kojih je uspeo da dođe do još 630 miliona adresa.
Važno je napomenuti da malver Ursnif radi samo na Windows kompjuterima, pa napadač preko Onlinera prvo mora da pošalje takozvane ‘fingerprinting’ mejlove, koji sadrže jedan Pixel GIF. Kada se mejl otvori zahtev sa IP adresom, i drugim podacima o uređaju potencijalne žrtve, bivaju poslati na server na kojem se GIF nalazi. Na osnovu tih podataka napadač zaključuje da li da pošalje još jedan mejl sa Ursnif malverom.
Do sada je zabeleženo preko 100.000 “inficiranih” uređaja širom sveta, a korisnici koji sumnjaju da su bili žrtve napada mogu to da provere na sajtu Have I Been Pwned.
Izvor: The Verge