Botnetz "Trik": C&C-Server leakt Millionen von E-Mail-Adressen

Ein Sicherheitsforscher des Softwareunternehmens Vertek Corporation hat auf dem Command-and-Control-Server eines Spam-Botnetzes namens "Trik" insgesamt mehr als 44 Millionen E-Mail-Adressen entdeckt. Wie er gegenüber Bleeping Computer erläuterte, waren sie aufgrund einer Fehlkonfiguration des Webservers über dessen IP-Adresse öffentlich abrufbar. Er entdeckte sie zufällig während der Analyse einer aktuellen Malware-Kampagne.

Die Adressen, von denen sich nach Ausschluss von Dopplungen und Fehlern 43.555.741 als legitim entpuppten, steckten in 2201 durchnummerierten Textdateien. Diese dienten den Drahtziehern hinter dem seit fast zehn Jahren aktiven, auch als Phorpiex bekannten Botnetz mit hoher Wahrscheinlichkeit als Adressdatenbank für den Spam-Versand.

Der in Russland befindliche Server samt geleakter Adressen war laut Bleeping Computer am gestrigen Dienstag nur noch mit Unterbrechungen erreichbar.

Zusammenarbeit mit Have I Been Pwned

Eine nähere Betrachtung der (Top-Level-)Domains ergab, dass die E-Mail-Adressen aus aller Welt stammen. Besonders auffallend sei laut dem Sicherheitsforscher, dass es sich vornehmlich um Domains eher "antiquierter" Services wie Yahoo (10,6 Millionen Adressen) oder AOL (8,3 Millionen Adressen) handele. Eine vom Forscher erstellte (und von Bleeping Computer veröffentlichte) "Top 100" der am häufigsten enthaltenen Domains beinhaltet auch den in Deutschland früher recht beliebten Mail-Dienst web.de.

Auch die Tatsache, dass die Datenbank nur wenige Gmail-Adressen umfasst, weist darauf hin, dass sie entweder unvollständig oder einfach veraltet sein könnte. Denkbar ist aber auch, dass sie mit der Absicht konzipiert wurde, die Spam-Kampagnen bewusst auf Nutzer älterer Services einzugrenzen.

Um abzugleichen, wie viele der Adressen neu sind und wie viele möglicherweise schon früher geleakt wurden, arbeitet der Forscher nun mit Troy Hunt von Have I Been Pwned zusammen. (ovw)