Trik垃圾邮件僵尸网络泄露了4300万个电子邮件地址

阅读量    133077 |   稿费 120

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

一位安全研究人员今天提到,超过4300万个电子邮件地址从垃圾邮件僵尸网络的命令和控制服务器中泄露。

Vertek公司的一位危险情报分析师在调查恶意软件活动,他在其中发现该活动在散布Trik木马病毒的一种版本,并且会通过第二阶段有效载荷感染用户–GandCrab 3勒索软件。

Vertek研究人员发现Trik和GandCrab会从俄罗斯IP地址的在线服务器下载感染用户系统的恶意文件。

Trik campaign

研究人员向Bleeping Computer透露,这个操作背后的团队配置错了服务器,任何人都可以直接访问IP。

在这台服务器上,他发现了2201个文本文件,从1.txt到2201.txt顺序标记,每个文件包含大约20,000个电子邮件地址块。

Vertek的研究人员认为,该服务器的运营商一直在使用这些收件人列表来为其他服务商提供服务,以便通过malspam活动分发各种恶意软件。

Leaky Trik server

 

服务器泄漏43,555,741个独立的电子邮件地址

“我们把他们全部都拿来验证他们是独一无二的合法的,”研究人员今天早些时候告诉Bleeping Computer。 “在44,020,000个潜在地址中,有43,555,741是独一无二的。”

研究人员现在正与澳大利亚安全专家特洛伊亨特合作,以便确定这些电子邮件中有多少是新的,以及之前有多少电子邮件已泄漏到其他数据转储中。

研究人员告诉我们,“电子邮件地址来自各个地方。” “有460万个独特的电子邮件域名,从.gov到.com,以及几个私人企业的域名。”

Vertek研究员分析了每个域的电子邮件地址。 在今天早些时候,研究人员分享的一份名单中(嵌入在本文的底部),指出了绝大多数电子邮件地址都是旧的,来自古老的电子邮件服务,如雅虎(1060万)和美国在线(830万)。

令人惊讶的是,尽管泄漏中包含许多自定义电子邮件域,但其中包含的Gmail地址非常少,这表明电子邮件地址数据库并不完整,或者此恶意软件活动有意针对使用旧电子邮件服务的用户。

 

Trik木马

Trik木马是一个典型的恶意软件下载程序。它会感染电脑,并将它们组装成一个巨大的僵尸网络。僵尸网络的操作人员使用这些电脑来发送新的垃圾邮件活动,或者他们向其他骗子出售“安装空间”,让他们向Trik受害者发送更多的威胁,类似于当初在Vertek活动中租借安装空间给GrandCrap人员使他们为难。

根据Proofpoint的报告,Trik木马已经有至少十年的活跃威胁,但在最近开始复苏。

在早期,恶意软件主要作为蠕虫通过可移动USB存储设备,Skype或Windows Live Messenger聊天进行自我传播。 这些基于蠕虫的变体之前是以Phorpiex的名义进行追踪的。

几年后,恶意软件发展成为一个完全成熟的木马,它分开了SDBot木马的代码库,并开始使用电子邮件垃圾邮件作为其主要传递和感染机制,同时还切换到IRC控制的僵尸网络体系结构。

Trik不是第一个发布其电子邮件地址数据库的垃圾邮件僵尸网络。 2017年8月,被称为Onliner的垃圾邮件操作泄露了711个垃圾邮件用户的邮件地址。

在撰写本文时,泄漏电子邮件地址的Trik C&C服务器将以间歇性的间隔保持离线状态。

前100个泄露的电子邮件域名:

8907436 yahoo.com
8397080 aol.com
 788641 comcast.net
 433419 yahoo.co.in
 432129 sbcglobal.net
 414912 msn.com
 316128 rediffmail.com
 294427 yahoo.co.uk
 286835 yahoo.fr
 282279 verizon.net
 244341 bellsouth.net
 234718 cox.net
 227209 earthlink.net
 221737 yahoo.com.br
 191098 ymail.com
 174848 att.net
 156851 btinternet.com
 139885 libero.it
 120120 yahoo.es
 117175 charter.net
 112566 mac.com
 111248 mail.ru
 107810 juno.com
  92141 optonline.net
  86967 yahoo.ca
  78964 me.com
  73341 yahoo.com.ar
  71545 yahoo.in
  71200 rocketmail.com
  69757 wanadoo.fr
  68645 rogers.com
  65629 yahoo.it
  65017 shaw.ca
  64091 ig.com.br
  63045 163.com
  62375 uol.com.br
  57764 free.fr
  57617 yahoo.com.mx
  57066 web.de
  56507 orange.fr
  56309 sympatico.ca
  54767 aim.com
  51352 cs.com
  50256 bigpond.com
  48455 terra.com.br
  43135 yahoo.co.id
  41533 netscape.net
  40932 alice.it
  39737 sky.com
  39116 yahoo.com.au
  38573 bol.com.br
  38558 YAHOO.COM
  37882 excite.com
  37788 mail.com
  37572 tiscali.co.uk
  37361 mindspring.com
  37350 tiscali.it
  36636 HOTMAIL.COM
  36429 ntlworld.com
  34771 netzero.net
  33414 prodigy.net
  33208 126.com
  32821 yandex.ru
  32526 planet.nl
  32496 yahoo.com.cn
  31167 qq.com
  30831 embarqmail.com
  30751 adelphia.net
  30536 telus.net
  30005 hp.com
  29160 yahoo.de
  28290 roadrunner.com
  27558 skynet.be
  26732 telenet.be
  26299 wp.pl
  26135 talktalk.net
  26072 pacbell.net
  26051 t-online.de
  25929 netzero.com
  25917 optusnet.com.au
  25897 virgilio.it
  25525 home.nl
  25227 videotron.ca
  24881 blueyonder.co.uk
  24462 peoplepc.com
  24435 windstream.net
  24079 xtra.co.nz
  23465 bluewin.ch
  23375 us.army.mil
  22433 hetnet.nl
  22247 trainingelite.com
  22021 yahoo.com.sg
  21689 laposte.net
  21336 ge.com
  21130 frontiernet.net
  21055 q.com
  21034 mchsi.com
  20882 webtv.net
  20830 abv.bg
  19425 insightbb.com

审核人:yiwang     编辑:边边

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多