Pesquisadores de segurança digital identificaram e desativaram um spambot chamado “Onliner”, que enviava spam a mais de 711 milhões de contas de e-mail. Além do spam, o sistema automatizado também era utilizado para enviar um malware chamado de Ursnif, que era usado para roubar os dados bancários das vítimas.
O sistema, que está ativo desde 2016 e opera a partir de um servidor holandês, foi identificado primeiramente por um pesquisador chamado Benkow, que vive em Paris. Segundo Benkow, a lista incluía cerca de 80 milhões de credenciais SMTP, que permitiam que o sistema enviasse os spams com mais eficiência.
Driblando a polícia do spam
Enviar spam não é uma tarefa tão simples; como o ZDNet explica, é necessário que o remetente da mensagem tenha as credenciais SMTP dos servidores de e-mail para que a mensagem seja entregue. Senão, ela é simplesmente filtrada para a caixa de spam do usuário, ou nem mesmo é entregue. Nesse caso, qualquer tipo de ataque ou campanha de spam seria ineficiente.
No entanto, o Onliner tinha acesso a mais de 80 milhões de credenciais SMTP que permitiam que ele enviasse spam a um enorme número de vítimas com eficiência elevada. Benkow diz que é difícil saber como essas credenciais foram obtidas, mas cerca de 2 milhões parecem ter vindo de uma campanha de phishing feita pelo Facebook. O ZDNet ainda estima que outras credenciais podem ter vindo de vazamentos de dados, como o do LinkedIn e o do Badoo.
Entrar primeiro, atacar depois
Mas esse era apenas o primeiro passo. Segundo Benkow, seria ineficiente simplesmente enviar o malware Ursnif a todos os usuários da lista. “Se a sua campanha for ‘barulhenta’ demais, a polícia virá atrás de você”, explicou ele ao ZDNet.
A medida que os criadores do Onliner tomaram para evitar isso era, segundo o pesquisador, “bem esperta”. Eles enviavam a todas as vítimas em potencial um primeiro e-mail, aparentemente inofensivo. Mas ele continha um GIF de apenas um pixel de dimensão (praticamente invisível). Quando o e-mail era aberto, o GIF enviava ao servidor do Onliner uma solicitação; por meio dessa solicitação, o Onliner conseguia saber quando o e-mail tinha sido aberto, de onde e de qual dispositivo.
São dados importantes: com base neles, o Onliner conseguia criar uma segunda lista, mais refinada, de alvos em potencial. Por exemplo: como a intenção dele era roubar dados bancários, ele teria mais sucesso infectando PCs com Windows do que celulares iOS. Isso permitia que o sistema enviasse menos e-mails e evitasse detecção, mas ainda mantivesse uma taxa elevada de sucesso.
Saiba se você está na lista
Benkow entrou em contato com Troy Hunt, o pesquisador de segurança que gerencia o site Have I Been Pwned?, para falar sobre o spambot. Hunt, que também escreveu sobre ele em seu blog, acrescentou todos os endereços de e-mail que estavam na lista do Onliner ao seu site. Se você quiser saber se o seu e-mail já sofreu algum tipo de ataque, incluindo este, pode pesquisar diretamente no site.
Segundo o Gizmodo, o servidor que hospedava o Onliner estava desprotegido e publicamente acessível desde ontem. Isso representava outro risco, já que a base de credenciais e endereços que ele coletou poderia ser acessada por outros usuários. Hunt diz já ter entrado em contato com as autoridades para eliminar o sistema.