Un investigador de seguridad de Vertek Corporation informó a Bleeping Computer que se han filtrado más de 43 millones de direcciones de correo electrónico del servidor de comando y control de una botnet de spam.
Un experto de Vertek Corporation detectó al servidor C & C mientras investigaba una reciente campaña de malware distribuyendo una versión del troyano Trik. El código malicioso se usó como un malware de primera etapa que solía soltarse, se utilizó para eliminar el ransomware de GandCrab v3.
Los expertos en malware de la firma Proofpoint recientemente han comenzado a rastrear el botnet Phorpiex / Trik que fue utilizado por sofisticados atacantes para distribuir una variedad de malware.
"No es especialmente sofisticado ni complejo, pero ha estado activo durante casi una década, volando por debajo del radar y atrayendo a una sólida base de clientes de actores amenazantes", dice el análisis publicado por Proofpoint.
"A medida que comenzamos a rastrear esta red de bots más de cerca, descubrimos que varios actores conocidos aprovechaban repetidamente las capacidades de distribución y de energía de Trik para la entrega de su malware".
Ambos malware descargarían los archivos maliciosos de un servidor mal configurado ubicado en una dirección IP rusa. El contenido del servidor fue accesible para cualquier persona, el investigador descubrió 2201 archivos de texto, etiquetados secuencialmente de 1.txt a 2201.txt que contienen trozos de aproximadamente 20,000 direcciones de correo electrónico, cada uno.
"El investigador de Vertek cree que los operadores de este servidor han estado utilizando estas listas de destinatarios para dar servicio a otros delincuentes que contrataron sus servicios para distribuir diversas cepas de malware a través de campañas de correo basura", informó Bleeping Computer.
"Hicimos que todos ellos validaran que son únicos y legítimos", dijo el investigador a Bleeping Computer el día de hoy. "De las 44,020,000 posibles direcciones, 43,555,741 son únicas".
El investigador compartió sus hallazgos con el trabajo del popular experto en ciberseguridad Troy Hunt, que ejecuta el servicio Have I Been Pwned, para determinar el origen de los datos.
El gran tesoro de direcciones de correo electrónico es de todas partes, el experto contó 4.6 millones de dominios de correo electrónico únicos (es decir, .gov, .com y dominio de varias empresas privadas).
La gran mayoría de las direcciones de correo electrónico son antiguas (Yahoo (10,6 millones) y AOL (8,3 millones)).
"Sorprendentemente, si bien hay muchos dominios de correo electrónico personalizados incluidos en la fuga, hay muy pocas direcciones de Gmail, lo que sugiere que la base de datos de direcciones de correo electrónico está incompleta o esta campaña de malware está dirigida intencionalmente a usuarios que usan servicios de correo electrónico antiguos" continúa Bleeping Computer.
El servidor de Trik C & C descubierto por el experto se desconecta a intervalos intermitentes.
Debajo de los 10 principales dominios de correo electrónico incluidos en los datos filtrados:
0 Comentarios