Phorpiex 僵尸網絡從勒索和挖礦轉向“性勒索”郵件
責編:gltian |2019-10-21 11:01:40面世十年之久的一款僵尸網絡惡意軟件目前控制著全球 45 萬臺電腦。最近,該惡意軟件改變了運作方式,從往電腦上植入勒索軟件或加密貨幣挖礦機,轉換到濫用這些被黑電腦向數百萬無辜群眾發送性勒索電子郵件。
電子郵件勒索案例近年來大幅增長,最近就有大批用戶投訴收到性勒索郵件,聲稱不給錢就要曝光他們的性內容。
盡管截至目前仍不清楚勒索者是如何繞過電子郵件提供商封鎖,發送如此大量的電子郵件,但 CheckPoint 的安全研究員最終找出了拼圖中缺失的那一塊。
位于以色列特拉維夫的安全公司 CheckPoint 報告稱,名為 Phorpiex 的僵尸網絡最近新納入一款垃圾郵件機器人程序,可將被黑電腦用作代理,以每小時 3 萬封的速度發出性勒索電子郵件,且全程不引起被感染電腦擁有者的注意。
Phorpiex 垃圾郵件機器人程序的工作機制
Phorpiex 的垃圾郵件程序模塊會從遠程命令與控制 (C2) 服務器下載目標/收件人電子郵件地址列表,運用簡單實現的 SMTP 協議發送性勒索電子郵件。
研究人員解釋道:然后,該程序從下載的地址數據庫中隨機選取電子郵件地址,以硬編碼的字符串編撰一封郵件。此機器人程序可產出大量垃圾電子郵件——高達每小時 3 萬封。每次垃圾郵件攻擊活動可影響多至 2,700 萬潛在受害者。
該垃圾郵件機器人程序會創建總共 1.5 萬個線程來發送垃圾郵件。每個線程從下載的電子郵件地址列表中隨機抽取一行。所有垃圾郵件線程結束后,該機器人程序會去下載新的電子郵件數據庫文件。考慮到延遲等因素,可以估計該機器人程序每小時約能發送 3 萬封電子郵件。
為恐嚇收件人,該性勒索活動背后的罪犯還會在性勒索電子郵件的主題欄或正文中加上受害者的一個在線密碼,讓受害者更加相信黑客知道自己的密碼,有可能獲取到自己的私密內容。
事實上,這些電子郵件地址和收件人密碼的組合,不過是從之前泄露的各數據庫中抽取的。因此,受害者看到的密碼未必就是自己的電子郵件賬戶密碼;有可能是過時的舊密碼,或者是其他在線服務的密碼。
下載下來的數據庫是文本文件,包含多達 2 萬個電子郵件地址。觀測到的各個攻擊活動中,C2 服務器上的電子郵件地址數據庫在 325 到 1363 個不等。所以,一次垃圾郵件攻擊活動可能有高達 2,700 萬潛在受害者。該地址數據庫文件中的每一行包含以冒號分隔的電子郵件地址和密碼。
其他研究團隊也觀測到了同樣的性勒索電子郵件攻擊活動,命名為“拯救你自己” (Save Yourself)。
五個多月的時間里,該攻擊活動背后的網絡罪犯已賺取 11 比特幣,約合 8.8 萬美元。研究人員表示,盡管該數額并不十分巨大,但黑客的實際收益或許會更多,因為安全界在前些年里并未監視性勒索活動。