Phorpiex 僵尸网络从勒索和挖矿转向“性勒索”邮件

面世十年之久的一款僵尸网络恶意软件目前控制着全球 45 万台电脑。最近,该恶意软件改变了运作方式,从往电脑上植入勒索软件或加密货币挖矿机,转换到滥用这些被黑电脑向数百万无辜群众发送性勒索电子邮件。

电子邮件勒索案例近年来大幅增长,最近就有大批用户投诉收到性勒索邮件,声称不给钱就要曝光他们的性内容。

尽管截至目前仍不清楚勒索者是如何绕过电子邮件提供商封锁,发送如此大量的电子邮件,但 CheckPoint 的安全研究员最终找出了拼图中缺失的那一块。

位于以色列特拉维夫的安全公司 CheckPoint 报告称,名为 Phorpiex 的僵尸网络最近新纳入一款垃圾邮件机器人程序,可将被黑电脑用作代理,以每小时 3 万封的速度发出性勒索电子邮件,且全程不引起被感染电脑拥有者的注意。

Phorpiex 垃圾邮件机器人程序的工作机制

Phorpiex 的垃圾邮件程序模块会从远程命令与控制 (C2) 服务器下载目标/收件人电子邮件地址列表,运用简单实现的 SMTP 协议发送性勒索电子邮件。

研究人员解释道:然后,该程序从下载的地址数据库中随机选取电子邮件地址,以硬编码的字符串编撰一封邮件。此机器人程序可产出大量垃圾电子邮件——高达每小时 3 万封。每次垃圾邮件攻击活动可影响多至 2,700 万潜在受害者。

该垃圾邮件机器人程序会创建总共 1.5 万个线程来发送垃圾邮件。每个线程从下载的电子邮件地址列表中随机抽取一行。所有垃圾邮件线程结束后,该机器人程序会去下载新的电子邮件数据库文件。考虑到延迟等因素,可以估计该机器人程序每小时约能发送 3 万封电子邮件。

为恐吓收件人,该性勒索活动背后的罪犯还会在性勒索电子邮件的主题栏或正文中加上受害者的一个在线密码,让受害者更加相信黑客知道自己的密码,有可能获取到自己的私密内容。

事实上,这些电子邮件地址和收件人密码的组合,不过是从之前泄露的各数据库中抽取的。因此,受害者看到的密码未必就是自己的电子邮件账户密码;有可能是过时的旧密码,或者是其他在线服务的密码。

下载下来的数据库是文本文件,包含多达 2 万个电子邮件地址。观测到的各个攻击活动中,C2 服务器上的电子邮件地址数据库在 325 到 1363 个不等。所以,一次垃圾邮件攻击活动可能有高达 2,700 万潜在受害者。该地址数据库文件中的每一行包含以冒号分隔的电子邮件地址和密码。

其他研究团队也观测到了同样的性勒索电子邮件攻击活动,命名为“拯救你自己” (Save Yourself)。

五个多月的时间里,该攻击活动背后的网络罪犯已赚取 11 比特币,约合 8.8 万美元。研究人员表示,尽管该数额并不十分巨大,但黑客的实际收益或许会更多,因为安全界在前些年里并未监视性勒索活动。

上一篇:Fortinet FortiGate NGIPS连续三次获NSS Labs实验室推荐级评价

下一篇:区块链如何解决物联网最重要的安全问题