Trik: Botnetz leakt über 43 Millionen E-Mail-Adressen

Ein Sicherheitsforscher der Vertek Corporation ist auf mehr als 43 Millionen E-Mail-Adressen gestoßen, die vom Botnetz Trik geleakt werden.

Botnetz, Trik

Mehr als 43 Millionen E-Mail-Adressen wären vom Command-and-Control-Server eines Spam-Botnets namens Trik durchgesickert, hat ein Sicherheitsforscher des Softwareunternehmens Vertek Corporation Bleeping Computer mitgeteilt. Cyberkriminelle haben ihren Server schlecht konfiguriert. Deshalb war es für die Sicherheitsforscher möglich, über dessen IP-Adresse direkten Zugriff auf die E-Mail-Adressen zu bekommen. Die Forscher gaben an, im Rahmen einer Malware-Kampagne durch Zufall darauf gestoßen zu sein.

Trik: E-Mail-Adressen von 43 Mio. Opfern entdeckt

So entdeckte ein Bedrohungsanalytiker der Vertek Corporation, dass Trik die Schad-Software GandCrab von einem Online-Server unter einer russischen IP-Adresse herunterladen würde. Der Trik-Trojaner ist ein klassischer Malware-Downloader. Es infiziert Computer und fügt sie anschließend zu einem riesigen Botnetz zusammen. Trik stellt seit mindestens einem Jahrzehnt eine aktive Bedrohung dar. Die Gefahr, die von ihm ausgeht, hat laut dem Proofpoint-Bericht kürzlich erst wieder zugenommen.

Textdateien mit unzähligen Adressen erbeutet

Auf dem völlig ungesicherten Server spürte der Forscher 2.201 Textdateien auf, die sequenziell von 1.txt bis 2201.txt beschriftet waren. Der Fund wurde von Dubletten befreit und so blieben von knapp über 44 Millionen E-Mail-Adressen 43.555.741 individuelle E-Mail-Adressen noch übrig. Aktuell arbeiten die Forscher nun mit Troy Hunt von Have I Been Pwned zusammen, um festzustellen, ob und wie viele dieser Mails bereits zuvor geleakt wurden. Sicherheitsforscher Troy Hunt bietet schon länger den Dienst Have I Been Pwned an. Darüber konnte nach E-Mail-Adressen oder Benutzernamen gesucht werden, die in letzter Zeit gehackt wurden.

have I been pwned? Logo

Adressen dienten Spam-Kampagnen

Der Vertek-Forscher ist der Ansicht, dass die Betreiber dieses Servers die Empfängerlisten dazu verwendet haben, um für andere Cyberkriminelle Malware mittels Spam-Kampagnen zu verteilen. Die Spam-Mails werden von bereits infizierten und im Botnetz integrierten Computern verschickt. Dabei verkauft man anderen Cyberkriminellen oftmals noch Install Space. Diese lädt zusätzliche Malware auf die bereits infizierten Computer, wie auch im Falle der Ransomware GandCrab.


Trik – viele alte Daten

Der Sicherheitsforscher weist darauf hin, dass die große Mehrzahl der aufgefundenen E-Mail-Adressen alt sind und vornehmlich aus Domains veralteter E-Mail-Dienste, wie Yahoo (10,6 Millionen) oder AOL (8,3 Millionen), stammen. Überraschenderweise sind nur sehr wenige Gmail-Adressen enthalten, was darauf hindeuten könnte, dass die E-Mail-Adressen entweder unvollständig sind und es eventuell weitere Text-Dateien mit Mail-Adressen auf anderen Servern gibt, oder diese Malware-Kampagne absichtlich auf Nutzer älterer E-Mail-Dienste abzielt. Insgesamt wären 4,6 Millionen Domains in der Liste vorhanden.

Bildquelle: ribkhan, thx! (CC0 Public Domain)

Tarnkappe.info

Ich bin bereits seit Januar 2016 Tarnkappen-Autor. Eingestiegen bin ich zunächst mit Buch-Rezensionen. Inzwischen schreibe ich bevorzugt über juristische Themen, wie P2P-Fälle, greife aber auch andere Netzthemen, wie Cybercrime, auf. Meine Interessen beziehen sich hauptsächlich auf Literatur.