База принадлежит спам-боту Onliner, распространяющему троянец Ursnif.
Французский исследователь безопасности под псевдонимом Benkow обнаружил в открытом доступе крупнейшую спамерскую базу на одном из web-серверов в Нидерландах. В базе содержалось огромное количество email-адресов, паролей для доступа к почтовым ящикам и огромный перечень почтовых серверов для рассылки спама. Согласно Benkow, база принадлежит спам-боту "Onliner". Злоумышленники используют спам-бот для распространения трояна Ursnif по электронной почте. Ursnif предназначается для хищения учетных данных пользователей и сбора информации о кредитных картах.
В общем сложности в базе было обнаружено 711 миллионов уникальных email-адресов, 80 миллионов записей, содержащих учетные данные пользователей, список валидных SMTP-серверов для рассылки спама.
Наличие логина, пароля и почтового сервера позволяет злоумышленникам обходить спам-фильтры и успешно доставлять вредоносное ПО потенциальным жертвам.
По словам исследователя, спамеры использовали валидные учетные данные на почтовых серверах для отправки фишинговых писем жертвам из списка. Атака осуществлялась в несколько этапов. Сначала жертве отправлялось нейтральное письмо, содержащее ссылку на изображение, находящееся на сервере, подконтрольном злоумышленниками. Если жертва открывала письмо и загружала картинку, злоумышленники получали возможность собрать необходимые данные о жертве для осуществления следующего этапа атаки. Если система пользователя соответствовала требованиям для установки троянского приложения, пользователю отправлялось второе письмо с вредоносным вложением.
