Khoảng 711 triệu email bị "sập bẫy" spambot

15:11, 30/08/2017

(XHTT) - Spambot đã thu thập thông tin của hàng trăm triệu email và thông tin đăng nhập máy chủ để gửi thư rác (spam) thông qua các máy chủ "hợp pháp", đánh bại nhiều bộ lọc thư rác.

(XHTT) - Spambot đã thu thập thông tin của hàng trăm triệu email và thông tin đăng nhập máy chủ để gửi thư rác (spam) thông qua các máy chủ “hợp pháp”, đánh bại nhiều bộ lọc thư rác.

 Spambot là một dạng mã lập trình được con người tạo ra nhằm đáp ứng một nhu cầu nào đó từ hệ thống một cách tự động và nhiệm vụ của loại mã này là thu thập các địa chỉ email cho các chiến dịch gửi thư rác (spam email).  Mới đây, một spambot khổng lồ đã bị phát hiện khi “bám” lấy 711 triệu tài khoản email.

Cụ thể, Benkow  - nhà nghiên cứu bảo mật tại Paris, Pháp đã phát hiện ra một máy chủ mở và cho phép truy cập dữ liệu được đặt tại Hà Lan. Tại hệ thống máy chủ này, hàng chục tệp tin văn bản có chứa địa chỉ email, mật khẩu và các máy chủ email được sử dụng để gửi tin nhắn spam.

Như vậy, có thể thấy hoạt động của phần mềm độc hại đã được triển khai trên phạm vi lớn hơn và những kẻ chuyên phát tán thư rác đã biết cách để qua mặt các bộ lọc spam và gửi email thông qua các máy chủ email hợp pháp.

Spambot được phát hiện lần này có tên gọi là “Onliner" được sử dụng để phát tán phần mềm độc hại vào hòm thư điện tử của hệ thống ngân hàng Ursnif gửi đi toàn thế giới. Đến nay, mã này đã dẫn đến hơn 100.000 trường hợp bị lây nhiễm.

Sau nhiều tháng mất công tìm hiểu về phần mềm độc hại từ Ursnif, Benkow đã thông tin đến mọi người về loại Trojan đánh cắp dữ liệu này gồm các thông tin cá nhân như thông tin đăng nhập, mật khẩu và dữ liệu thẻ tín dụng. Thông thường, một kẻ gửi thư rác sẽ gửi tệp "dropper" dưới dạng tệp đính kèm email bình thường. Khi tệp đính kèm được mở, phần mềm độc hại tải xuống từ máy chủ và lây nhiễm vào máy.

Tuy nhiên, trong khi cách thức gửi thư rác vẫn là phương pháp phát tán phần mềm độc hại hiệu quả , thì bộ lọc email cũng ngày càng trở nên thông minh hơn và nhiều tên miền được tìm thấy liên quan đến gửi spam đã bị liệt vào danh sách đen. Mặc dù vậy, chiến dịch Onliner của tin tặc sử dụng một thiết lập phức tạp hơn để vượt qua các bộ lọc thư rác.

Theo chuyên gia Benkow, để gửi spam, kẻ tấn công cần một danh sách rất lớn các chứng chỉ Giao thức truyền tải thư điện tử đơn giản (SMTP). Đây là cách những thông tin xác thực người gửi spam núp dưới dạng email hợp pháp. Bên cạnh đó, càng nhiều máy chủ SMTP được tìm thấy, thì khả năng phân phối phần mềm độc hại càng nhiều.

Khá nhiều trang mạng xã hội nổi tiếng như LinkedIn hay Badoo… bị dính líu đến hoạt động spam bất hợp pháp. Danh sách nạn nhân của chiến dịch Onliner có khoảng 80 triệu tài khoản. Tất cả những tài khoản này đều chứa địa chỉ email, mật khẩu, cùng với máy chủ SMTP và cổng được dùng để gửi email. Kẻ phát tán thư spam kiểm tra mỗi mục nhập bằng cách kết nối với máy chủ để đảm bảo các thông tin là hợp lệ và thư spam có thể được gửi đi. Các tài khoản không hoạt động bị bỏ qua.

80 triệu máy chủ email sau đó được sử dụng để gửi khoảng 630 triệu email mục tiêu còn lại, những email này được thiết kế để lọc ra số “nạn nhân”, hay còn gọi là email “lấy dấu”.

Những email này xuất hiện không đáng ngờ, nhưng chúng chứa một hình ảnh có kích thước pixel ẩn. Khi “khổ chủ” mở email, hình ảnh số pixel “ẩn” sẽ gửi lại địa chỉ IP và thông tin agent-user, được sử dụng để xác định loại máy tính, hệ điều hành và thông tin thiết bị khác. Điều đó giúp kẻ tấn công nhận biết được đâu là mục tiêu để gửi phần mềm độc hại Ursnif, bằng cách nhắm mục tiêu cụ thể vào các máy tính Windows, thay vì gửi các tệp độc hại tới người dùng iPhone hoặc Android, những người không bị ảnh hưởng bởi phần mềm độc hại.

Để tránh sự theo dõi của các cơ quan quản lý pháp luật, những kẻ tấn công ban đầu có thể gửi ra khoảng 1 triệu email rác và nhận lại 1 phần trong số các email đó, sau khi có được phản hồi, chúng tiếp tục gửi đợt email thứ 2 với vài nghìn email mục tiêu kèm theo phần mềm độc hại.

Các email này thường gửi đến nạn nhạn sau vài ngày hoặc thậm chí vài tuần, giả mạo hóa đơn từ các dịch vụ phân phối, khách sạn, hoặc công ty bảo hiểm, kèm theo tệp JavaScript độc hại. Thực sự là cách làm này khá thông minh. Theo các chuyên gia, con số 711 triệu tài khoản email bị vây bám bởi spambot là hoàn toàn lọc theo cơ học, trên thực tế con số này có thể còn lớn hơn nhiều.

.