Spambot nutzt 711 Millionen Mail-Adressen zur Malwareverbreitung
Ein Spambot namens Onliner missbraucht rund 80 Millionen Mailserver-Logins, um Spam mit Banking-Malware in 630 Millionen Postfächern zu platzieren. Noch ist die Gefahr nicht gebannt; wer betroffen ist, kann dies jedoch per Online-Dienst herausfinden.
Ein französischer Sicherheitsforscher hat eine Liste mit insgesamt 711 Millionen E-Mail-Adressen – teils in Kombination mit den dazugehörigen Passwörtern – entdeckt. Wie der Pariser Forscher unter dem Pseudonym Benkow in seinem Blog berichtet, fand er die Datensätze auf einem niederländischen Webserver, den ein Spambot namens Onliner als Command-and-Control-Server nutzte. Die Daten hat er zusammen mit Konfigurationsdateien des Bots aus einem öffentlich zugänglichen Ordner kopiert.
Wie Benkows Untersuchungen ergaben, unterteilen sich die Daten in rund 80 Millionen Login-Kombinationen aus E-Mail-Adressen und Passwörtern sowie 630 Millionen weitere E-Mail-Adressen. Die Logins nutze Onliner für den Versand seiner Spam-Mails über vertrauenswürdige SMTP-Server, um Filtermechanismen zu umgehen. Empfänger der unerwünschten, üblicherweise mit Schadcode-Anhängen präparierten Post seien die übrigen 630 Millionen E-Mail-Adressen aus Onliners Liste.
Benkow, der sich eingehend mit Onliners Spam-Kampagnen befasst hat, beschreibt in seinem Blog, dass der Bot bereits seit 2016 im großen Stil für die Verbreitung der Banking-Malware Ursnif verwendet wird. Dabei handelt es sich um einen Trojaner, der auf infizierten Systemen unter anderem Konto- und Kreditkartendaten stiehlt. Gegenüber ZDNet sagte Benkow, dass die Verteilung von Ursnif durch Onliner bislang mehr als 100.000 Infektionen weltweit zur Folge gehabt habe.
"Have I been pwned" bietet Überprüfung
Benkow informierte Troy Hunt, den Betreiber des Passwort-Prüfdiensts Have I Been Pwned, über seinen Fund. Der betonte im Rahmen einer eigenen Analyse, dass es sich um die bislang umfangreichste Datensammlung eines Spambots handele, die er in seinen Dienst eingepflegt habe. Unter anderem habe er seine eigene E-Mail-Adresse gleich zweimal in der Liste gefunden. Hunt weist allerdings auch darauf hin, dass die Angabe von 711 Millionen Adressen zwar "technisch korrekt" sei; andererseits befänden sich darunter auch fehlerhafte sowie nicht (mehr) existierende Adressen. Somit seien in Wirklichkeit wohl weniger Menschen von Onliners Spam-Kampagnen betroffen.
Wer überprüfen möchte, ob die eigene E-Mail-Adresse auf der Liste des Spambots steht, kann dies unter Angabe seiner E-Mail-Adresse auf haveibeenpwned.com tun. Laut Hunts Erkenntnissen ist der Spambot-Server am heutigen Mittwoch noch immer online. Er und Benkow stünden in Kontakt mit den für die Strafverfolgung zuständigen Behörden, die sich darum bemühten, ihn schnellstmöglich vom Netz zu nehmen. (ovw)
