По заявлению исследователя безопасности Bleeping Computer, более 43 миллионов адресов электронной почты просочились с сервера управления ботнетом.
Утечка обнаружена аналитиков во время изучения аналитиком Vertek Corporation кампании распространения версии трояна Trik, позднее заразившей пользователей шифровальщиком GandCrab 3.
Исследователь Vertek обнаружил, что Trik и GandCrab загружают вредоносные файлы, заражающие системы пользователей с онлайн-сервера, расположенного по одному IP-адресу.
Исследователь рассказал Bleeping Computer, что группа, стоящая за этой операцией, неправильно сконфигурировала свой сервер и оставила свой контент доступным для всех, кто напрямую обращается к IP.
На этом сервере он обнаружил 2201 текстовых файлов, помеченных последовательно от 1.txt до 2201.txt, содержащих куски примерно 20 000 адресов электронной почты.
Исследователь Vertek полагает, что операторы этого сервера используют эти списки получателей для обслуживания других мошенников, которые заключили контракты на свои услуги для распространения различных штампов вредоносных программ посредством кампаний malspam.
Утечка 43 555 741 уникальных адресов электронной почты
Из 44 020 000 потенциальных адресов 43 555 741 уникальны. Исследователи сейчас работают с австралийским экспертом по безопасности Троем Хантом, владельцем службы Have I Been Pwned (Я был обманут), чтобы понять сколько из этих писем уникальны и сколько уже встречались ранее.
Фактически в списке встречаются домены от .gov до .com и домены частных компаний.
Подавляющее большинство адресов электронной почты — старые, из устаревших почтовых служб, таких как Yahoo (10,6 млн.) и AOL (8,3 млн.).
Удивительно, но несмотря на то, что в утечке имеется много настраиваемых почтовых доменов, в систему включено очень мало адресов Gmail, что указывает на то, что база данных адресов электронной почты является либо неполной, либо эта вредоносная кампания преднамеренно нацелена на пользователей, использующих более старые службы электронной почты.
Trik Trojan
Trik Trojan — классический загрузчик вредоносных программ. Он заражает компьютеры и собирает их в гигантский ботнет. Операторы ботнета используют эти компьютеры для рассылки новых спам-кампаний или продают «пространство для установки» другим жуликам, что позволяет им доставлять больше угроз для жертв Trik, подобно тому, как они арендовали место для установки для команды GandCrab.
В соответствии с протоколом Proofpoint троянец Trik был активной угрозой по крайней мере десятилетие, но недавно произошло его возрождение .
В начале своего распространения вредоносная программа работала в основном как червь, который распространялся через съемные USB-устройства, Skype или Windows Live Messenger. Эти варианты отслеживались под именем Phorpiex .
Вредоносная программа превратилась в полноценный троянский код, когда злоумышленники начали использовать спам в качестве основного механизма доставки и заражения, а также переключились на управляемую IRC архитектуру ботнета .
Топ-100 доменов электронной почты, включенных в просочившиеся данные:
8907436 yahoo.com
8397080 aol.com
788641 comcast.net
433419 yahoo.co.in
432129 sbcglobal.net
414912 msn.com
316128 rediffmail.com
294427 yahoo.co.uk
286835 yahoo.fr
282279 verizon.net
244341 bellsouth.net
234718 cox.net
227209 earthlink.net
221737 yahoo.com.br
191098 ymail.com
174848 att.net
156851 btinternet.com
139885 libero.it
120120 yahoo.es
117175 charter.net
112566 mac.com
111248 mail.ru
107810 juno.com
92141 optonline.net
86967 yahoo.ca
78964 me.com
73341 yahoo.com.ar
71545 yahoo.in
71200 rocketmail.com
69757 wanadoo.fr
68645 rogers.com
65629 yahoo.it
65017 shaw.ca
64091 ig.com.br
63045 163.com
62375 uol.com.br
57764 free.fr
57617 yahoo.com.mx
57066 web.de
56507 orange.fr
56309 sympatico.ca
54767 aim.com
51352 cs.com
50256 bigpond.com
48455 terra.com.br
43135 yahoo.co.id
41533 netscape.net
40932 alice.it
39737 sky.com
39116 yahoo.com.au
38573 bol.com.br
38558 YAHOO.COM
37882 excite.com
37788 mail.com
37572 tiscali.co.uk
37361 mindspring.com
37350 tiscali.it
36636 HOTMAIL.COM
36429 ntlworld.com
34771 netzero.net
33414 prodigy.net
33208 126.com
32821 yandex.ru
32526 planet.nl
32496 yahoo.com.cn
31167 qq.com
30831 embarqmail.com
30751 adelphia.net
30536 telus.net
30005 hp.com
29160 yahoo.de
28290 roadrunner.com
27558 skynet.be
26732 telenet.be
26299 wp.pl
26135 talktalk.net
26072 pacbell.net
26051 t-online.de
25929 netzero.com
25917 optusnet.com.au
25897 virgilio.it
25525 home.nl
25227 videotron.ca
24881 blueyonder.co.uk
24462 peoplepc.com
24435 windstream.net
24079 xtra.co.nz
23465 bluewin.ch
23375 us.army.mil
22433 hetnet.nl
22247 trainingelite.com
22021 yahoo.com.sg
21689 laposte.net
21336 ge.com
21130 frontiernet.net
21055 q.com
21034 mchsi.com
20882 webtv.net
20830 abv.bg
19425 г. insightbb.com
