Onliner y Ursnif: el peligroso binomio que roba 711 millones de cuentas de email

Oculto bajo el peudónimo Benkow, un investigador de seguridad francés, logró averiguar que un servidor web abierto y accesible (alojado en Holanda) estaba almacenando docenas de archivos de texto que contienen una gran cantidad de direcciones de correo electrónico, contraseñas y servidores de correo electrónico para enviar spam. Nada menos que, hasta el momento, 711 millones de cuentas.

Dicho spambot, denominado “Onliner“, se ha empleado para entregar el malware bancario Ursnif a bandejas de entrada de todo el mundo. Según informó Benkow a ZDNet, hasta la fecha ha habido más de 100.000 infecciones en todo el mundo.

El trabajo realizado por Benkow ha sido largo pero fructífero. En su propia bitácora Benkow relata cómo ha pasado meses investigando el malware de Ursnif, un troyano que roba datos que usa para obtener información personal, así como datos de acceso, contraseñas y tarjetas de crédito. Normalmente, un spammer envía un archivo dropper como un archivo adjunto de correo normal. Cuando se abre el archivo adjunto, el malware se descarga desde un servidor e infecta la máquina.

Sin embargo, aunque el correo no deseado sigue siendo un método efectivo de entrega de malware, los filtros de correo electrónico se están volviendo más inteligentes y muchos dominios que han recibido spam han sido incluidos en la lista negra. Aun así, Onliner utiliza una sofisticada configuración para evitar esos filtros de spam.

“Para enviar spam, el atacante necesita una enorme lista de credenciales SMTP“, explica Benkow en su blog. “Cuantos más servidores SMTP encuentre, más podrá distribuir la campaña”. Esas credenciales, afirma, han sido recopiladas de otras infracciones de datos, como el hack de LinkedIn y el de Badoo, así como otras fuentes desconocidas.

Hablamos de

Ciberseguridad