当前位置:安全资讯 >> 全文

天道好轮回?垃圾邮件僵尸网络 Trik 不慎泄露4300万个邮件地址

发布时间:2018-6-13 11:04 标签: 数据泄露,僵尸网络
分享到 0

Vertek 公司的威胁情报分析师最近在分析传播 Trik 木马的某个版本时发现 Trik 僵尸网络的命令和控制服务器泄露了4300多万个邮件地址。

Trik 木马的这个版本随后通过第二阶段的 payload GandCrab 3 勒索软件感染用户。

研究人员发现 Trik GandCrab 下载恶意文件,从位于俄罗斯某个 IP 地址上的网络服务器感染用户系统。研究人员指出恶意人员错误地配置了服务器,导致服务器内容可遭任何能直接访问该 IP 地址的人员访问。

研究员从这个服务器上找到了2201个文本文件,标签从 1.txt 一直按顺序编到2201.txt,其中每个文件中均含有约2万个邮件地址。研究人员认为恶意人员使用这些收件人列表的目的是为其它订阅其服务的犯罪分子通过垃圾邮件活动传播多种恶意软件。

服务器泄露 43,555,741 个唯一邮件地址

研究人员指出,他们将这些地址都提取出来以验证是否唯一且合法。在44,020,000个潜在地址中,其中43,555,741 个地址是唯一的。

目前这名研究员正在和澳大利亚安全专家兼 Have I Been Pwned 服务的 Troy Hunt 合作以确定哪些邮件地址是新的,哪些邮件地址曾出现在其它数据泄露事件中。

研究人员指出,这些邮件地址源自全球各地。唯一邮件域名有460万个,包括 .gov.com 以及多家企业的域名等应有尽有。研究人员分析文件后,已经按域名将邮件地址归类。他指出,多数邮件地址是之前曾暴露过的,来自雅虎 (1060 万个),以及 AOL830万个)。

令人惊讶的是,虽然这次泄露实践中包含很多自定义邮件域名,但很少能发现 Gmail 地址,这表明这些邮件地址数据库要么不完整,要么这起恶意软件活动专门针对使用老旧邮件服务的用户。

Trik 木马

这个 Trik 木马是一款典型的恶意软件下载器。它感染计算机并组建成巨大的僵尸网络。该僵尸网络的操纵人员利用这些计算机发送新的垃圾邮件活动,或者向其他犯罪分子出售“安装控件”,从而为受害者造成更大的威胁,这和他们将安装空间租赁给 GandGrab 团伙用于 Vertek 发现的恶意活动类似。

Proofpoint 公司发布报告称,Trik 木马至少已活跃10年,但最近有重新抬头之势。

在早期阶段,Trik 木马主要是通过可移动的 USB 存储设备、Skype Windows Live Messenger 聊天作为蠕虫自传播。这些基于蠕虫的变体此前被称为 Phorpiex

多年后,Trik muma 羽翼丰满,fork SDBot 木马的代码基并开始通过垃圾邮件活动作为主要的传播和感染机制,同时转向受 IRC 控制的僵尸网络架构。

不过,Trik 并非首个泄露自身邮件地址数据库的垃圾邮件僵尸网络。20178月,Onliner 垃圾邮件活动泄露了用于发送垃圾邮件的711个邮件地址。

截止本文发稿前,泄露邮件地址的Trik 命令和控制服务器不间断地处于脱机状态。

被泄数据中包含的前100个邮件域名:

8907436yahoo.com

8397080aol.com

 788641 comcast.net

 433419 yahoo.co.in

 432129 sbcglobal.net

 414912 msn.com

 316128 rediffmail.com

 294427 yahoo.co.uk

 286835 yahoo.fr

 282279 verizon.net

 244341 bellsouth.net

 234718 cox.net

 227209 earthlink.net

 221737 yahoo.com.br

 191098 ymail.com

 174848 att.net

 156851 btinternet.com

 139885 libero.it

 120120 yahoo.es

 117175 charter.net

 112566 mac.com

 111248 mail.ru

 107810 juno.com

  92141 optonline.net

  86967 yahoo.ca

  78964 me.com

  73341 yahoo.com.ar

  71545 yahoo.in

  71200 rocketmail.com

  69757 wanadoo.fr

  68645 rogers.com

  65629 yahoo.it

  65017 shaw.ca

  64091 ig.com.br

  63045 163.com

  62375 uol.com.br

  57764 free.fr

  57617 yahoo.com.mx

  57066 web.de

  56507 orange.fr

  56309 sympatico.ca

  54767 aim.com

  51352 cs.com

  50256 bigpond.com

  48455 terra.com.br

  43135 yahoo.co.id

  41533 netscape.net

  40932 alice.it

  39737 sky.com

  39116 yahoo.com.au

  38573 bol.com.br

  38558 YAHOO.COM

  37882 excite.com

  37788 mail.com

  37572 tiscali.co.uk

  37361 mindspring.com

  37350 tiscali.it

  36636 HOTMAIL.COM

  36429 ntlworld.com

  34771 netzero.net

  33414 prodigy.net

  33208 126.com

  32821 yandex.ru

  32526 planet.nl

  32496 yahoo.com.cn

  31167 qq.com

  30831 embarqmail.com

  30751 adelphia.net

  30536 telus.net

  30005 hp.com

  29160 yahoo.de

  28290 roadrunner.com

  27558 skynet.be

  26732 telenet.be

  26299 wp.pl

  26135 talktalk.net

  26072 pacbell.net

  26051 t-online.de

  25929 netzero.com

  25917 optusnet.com.au

  25897 virgilio.it

  25525 home.nl

  25227 videotron.ca

  24881 blueyonder.co.uk

  24462 peoplepc.com

  24435 windstream.net

  24079 xtra.co.nz

  23465 bluewin.ch

  23375 us.army.mil

  22433 hetnet.nl

  22247 trainingelite.com

  22021 yahoo.com.sg

  21689 laposte.net

  21336 ge.com

  21130 frontiernet.net

  21055 q.com

  21034 mchsi.com

  20882 webtv.net

  20830 abv.bg

  19425 insightbb.com

 

 

本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。
原文链接:https://www.bleepingcomputer.com/news/security/trik-spam-botnet-leaks-43-million-email-addresses/
参与讨论,请先 登录 | 注册

用户评论