Một phần mềm độc hại botnet tồn tại trong hàng thập kỷ hiện đang kiểm soát hơn 450.000 máy tính trên toàn thế giới và gần đây đã chuyển các hoạt động của nó từ việc lây nhiễm máy tính bằng ransomware hoặc công cụ khai thác tiền điện tử sang lạm dụng chúng để gửi nội dung email cho hàng triệu người vô tội.
Tống tiền bằng email đang gia tăng đáng kể, với một số lượng lớn người dùng gần đây phàn nàn về việc nhận nội dung email cố gắng tống tiền của các cá nhân bằng cách đe dọa họ là sẽ để lộ nội dung nhạy cảm của họ.
Mặc dù cho đến bây giờ, vẫn chưa rõ những kẻ lừa đảo đã gửi số lượng email khổng lồ như thế nào mà không bị các nhà cung cấp email đưa vào danh sách đen, các nhà nghiên cứu bảo mật từ Checkpoint cuối cùng đã tìm thấy câu trả lời trong câu đố này.
Trong báo cáo mới nhất được chia sẻ với The Hacker News trước khi phát hành, công ty bảo mật Checkpoint có trụ sở tại Tel Aviv tiết lộ rằng một botnet, được gọi là Phorpiex, gần đây đã được cập nhật để bao gồm một bot spam được thiết kế để sử dụng máy tính bị xâm nhập làm proxy để gửi hơn 30.000 email sextortion mỗi giờ mà hủ sở hữu máy tính bị nhiễm không thể phát hiện.
Phorpiex Spam Bot hoạt động như thế nào?
Mô-đun spambot của Phorpiex tải xuống danh sách các địa chỉ email của mục tiêu / biên lai từ máy chủ và kiểm soát từ xa và sử dụng một triển khai đơn giản của giao thức SMTP để gửi email sextortion.
“Sau đó, một địa chỉ email được chọn ngẫu nhiên từ cơ sở dữ liệu đã tải xuống và một tin nhắn được tạo từ nhiều chuỗi mã hóa cứng. Bot spam có thể tạo ra một lượng lớn email spam – lên tới 30.000 mỗi giờ. Mỗi chiến dịch spam riêng lẻ có thể bao gồm 27 triệu nạn nhân tiềm năng, “các nhà nghiên cứu giải thích.
“Bot spam tạo ra tổng cộng 15.000 luồng để gửi tin nhắn rác từ một cơ sở dữ liệu. Mỗi luồng lấy một dòng ngẫu nhiên từ tệp đã tải xuống. Tệp cơ sở dữ liệu tiếp theo được tải xuống khi tất cả các luồng spam kết thúc. Tính thêm việc bị delay nữa thì bot đó có thể gửi khoảng 30.000 email trong một giờ. “
Để đe dọa những người nhận vô tội, những tên tội phạm đứng sau các chiến dịch sextortion này cũng thêm một trong những mật khẩu trực tuyến của nạn nhân vào dòng tiêu đề hoặc nội dung của email sextortion, khiến tin tặc biết mật khẩu của họ và có thể truy cập vào nội dung riêng tư của họ.
Trong thực tế, các kết hợp địa chỉ email và mật khẩu của người nhận đã được quản lý từ các cơ sở dữ liệu bị xâm phạm khác nhau trước đây. Vì vậy, mật khẩu hiển thị cho nạn nhân không nhất thiết phải thuộc về tài khoản email của họ; nó có thể cũ và liên quan đến bất kỳ dịch vụ trực tuyến nào.
“Cơ sở dữ liệu được tải xuống là một tệp văn bản, chứa tới 20.000 địa chỉ email. Trong các chiến dịch khác nhau, chúng tôi đã quan sát từ 325 đến 1363 cơ sở dữ liệu email trên máy chủ C & C. Do đó, một chiến dịch spam bao gồm tới 27 triệu nạn nhân tiềm năng. Mỗi dòng tập tin này chứa email và mật khẩu được phân định bởi dấu hai chấm, “các nhà nghiên cứu nói.
Chiến dịch sextortion tương tự được cung cấp bởi cùng một mạng botnet tương tự cũng được đặt tên là các cuộc tấn công phần mềm độc hại “Save Yourself” bởi các nhóm nghiên cứu khác.
Trong hơn năm tháng, tội phạm mạng đằng sau chiến dịch này đã kiếm được hơn 11 BTC, tương đương khoảng 88.000 đô la. Mặc dù con số này không lớn, nhưng các nhà nghiên cứu cho biết doanh thu thực tế của tin tặc có thể lớn hơn, vì họ không theo dõi các chiến dịch sextortion trong những năm trước.
