Pesquisadores detectam ataque capaz de infectar até 711 milhões de e-mails

Redação30/08/2017 12h13, atualizada em 30/08/2017 12h42

20170601215801

Compartilhe esta matéria

Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Pesquisadores de segurança digital identificaram e desativaram um spambot chamado “Onliner”, que enviava spam a mais de 711 milhões de contas de e-mail. Além do spam, o sistema automatizado também era utilizado para enviar um malware chamado de Ursnif, que era usado para roubar os dados bancários das vítimas.

O sistema, que está ativo desde 2016 e opera a partir de um servidor holandês, foi identificado primeiramente por um pesquisador chamado Benkow, que vive em Paris. Segundo Benkow, a lista incluía cerca de 80 milhões de credenciais SMTP, que permitiam que o sistema enviasse os spams com mais eficiência.

Driblando a polícia do spam

Enviar spam não é uma tarefa tão simples; como o ZDNet explica, é necessário que o remetente da mensagem tenha as credenciais SMTP dos servidores de e-mail para que a mensagem seja entregue. Senão, ela é simplesmente filtrada para a caixa de spam do usuário, ou nem mesmo é entregue. Nesse caso, qualquer tipo de ataque ou campanha de spam seria ineficiente.

No entanto, o Onliner tinha acesso a mais de 80 milhões de credenciais SMTP que permitiam que ele enviasse spam a um enorme número de vítimas com eficiência elevada. Benkow diz que é difícil saber como essas credenciais foram obtidas, mas cerca de 2 milhões parecem ter vindo de uma campanha de phishing feita pelo Facebook. O ZDNet ainda estima que outras credenciais podem ter vindo de vazamentos de dados, como o do LinkedIn e o do Badoo.

Entrar primeiro, atacar depois

Mas esse era apenas o primeiro passo. Segundo Benkow, seria ineficiente simplesmente enviar o malware Ursnif a todos os usuários da lista. “Se a sua campanha for ‘barulhenta’ demais, a polícia virá atrás de você”, explicou ele ao ZDNet.

A medida que os criadores do Onliner tomaram para evitar isso era, segundo o pesquisador, “bem esperta”. Eles enviavam a todas as vítimas em potencial um primeiro e-mail, aparentemente inofensivo. Mas ele continha um GIF de apenas um pixel de dimensão (praticamente invisível). Quando o e-mail era aberto, o GIF enviava ao servidor do Onliner uma solicitação; por meio dessa solicitação, o Onliner conseguia saber quando o e-mail tinha sido aberto, de onde e de qual dispositivo.

São dados importantes: com base neles, o Onliner conseguia criar uma segunda lista, mais refinada, de alvos em potencial. Por exemplo: como a intenção dele era roubar dados bancários, ele teria mais sucesso infectando PCs com Windows do que celulares iOS. Isso permitia que o sistema enviasse menos e-mails e evitasse detecção, mas ainda mantivesse uma taxa elevada de sucesso.

Saiba se você está na lista

Benkow entrou em contato com Troy Hunt, o pesquisador de segurança que gerencia o site Have I Been Pwned?, para falar sobre o spambot. Hunt, que também escreveu sobre ele em seu blog, acrescentou todos os endereços de e-mail que estavam na lista do Onliner ao seu site. Se você quiser saber se o seu e-mail já sofreu algum tipo de ataque, incluindo este, pode pesquisar diretamente no site.

Segundo o Gizmodo, o servidor que hospedava o Onliner estava desprotegido e publicamente acessível desde ontem. Isso representava outro risco, já que a base de credenciais e endereços que ele coletou poderia ser acessada por outros usuários. Hunt diz já ter entrado em contato com as autoridades para eliminar o sistema.

Colaboração para o Olhar Digital

Redação é colaboração para o olhar digital no Olhar Digital