Een franse onderzoeker heeft een enorm spambotnet ontdekt, dat gebruik maakt van een database met een absurd aantal van minimaal 711 miljoen verschillende emailadressen.

Ursnif Banking Trojan

Het botnet kreeg de naam Onliner en wordt gebruikt om malware te verspreiden via schadelijke emails. Vooral het gebruik van de Ursnif banking Trojan blijkt het devies van de hackers. Deze Trojan variant is speciaal ontwikkeld om gegevens voor het internetbankieren te achterhalen en door te spelen naar eventuele fraudeurs.

Trackingpixel

Om de malware te kunnen verspreiden maakt Onliner gebruik van de inloggegevens van 80 miljoen unieke emailadressen. Die gegevens zouden dan weer buitgemaakt zijn vanuit eerdere lekken bij bijvoorbeeld Linkedin en Badoo. De 80 miljoen emailadressen sturen vervolgens hun geinfecteerde emails naar de overige 630 miljoen adressen waar een zogenoemde trackingpixel bij inbegrepen zit. Zodra de email nietsvermoedend wordt geopend, stuurt de verborgen trackingpixel het ip-adres en user-agent informatie terug naar het botnet.

Voorselectie

Met deze gegevens kunnen de beheerders van het botnet beslissen welke doelwitten zij moeten gebruiken voor het verspreiden van de specifieke Trojan. Deze manier van voorselectie zou het succes van het botnet aanzienlijk moeten vergroten. Intussen is de gigantische lijst van de 711 miljoen emailadressen toegevoegd aan de database van de zoekmachine Have I been Pwned. Ook bleek uit onderzoek dat het botnet opereert vanaf een Nederlandse server. Inmiddels zijn de Nederlandse autoriteiten gewaarschuwd en aangeraden om de server uit de lucht te halen.

Wilt u controleren of uw emailadres nog steeds veilig is? Ga naar www.haveibeenpwned.com om te checken of alles nog klopt!