یکی از محققان امنیتی شرکت Vertek در حین بررسی یک پویش بدافزاری جدید، متوجه شد که بیش از ۴۳ میلیون آدرس پست الكترونیكی از سرور دستور و کنترل یک باتنت هرزنامه به نام Trik افشا شده است. این کد مخرب که بهعنوان یک بدافزار مرحلهی اول استفاده شده بود، برای توزیع باجافزار GandCrab v3 بهکار میرفت.
کارشناسان شرکت پروفپوینت اخیرا ردیابی باتنت Phorpiex / Trik را که توسط مهاجمان برای توزیع طیف وسیعی از بدافزارها استفاده میشود را آغاز کردهاند. هر دو بدافزار فایلهای مخرب را از یک سرور واقعشده در یک آدرس IP روسی دانلود میکنند. از آنجایی که محتوای سرور برای هر کسی قابل دسترسی بود، محققان ۲۲۰۱ فایل متنی را کشف کردند که بهترتیب از ۱٫txt تا ۲۲۰۱٫txt علامتگذاری شده و هرکدام شامل تقریبا ۲۰ هزار آدرس ایمیل میباشد.
محقق شرکت Vertek معتقد است که اپراتورهای این سرور از این فهرست برای خدمت به سایر مهاجمان و برای توزیع انواع بدافزارها از طریق پویشهای Malspam استفاده کردهاند. این کارشناس اعلام کرد که از ۴۴۰۲۰۰۰۰ آدرس کشف شده، ۴۳۵۵۵۷۴۱ مورد از آنها (بهعنوان مثال gov.، .com، و دامنهی چندین شرکت خصوصی) منحصربهفرد هستند. اکثر آدرسهای ایمیل کشف شده، قدیمی هستند (یاهو (۱۰٫۶ میلیون) و AOL (8٫۳ میلیون)).
این محقق اعلام کرد آدرس جیمیل کمتری کشف شده است که نشان میدهد یا این پایگاه داده ناقص است و یا این پویش بدافزاری، عمدا کاربران را با استفاده از خدمات ایمیل قدیمیتر هدف قرار دادهاند. سرور دستور و کنترل Trik که توسط محققان کشف شده است، در فواصل متناوب بهصورت آفلاین در میآید. در ادامه، ۱۰ دامنهی ایمیل که در دادههای افشا شده موجودند، آمده است:
۱٫ yahoo.com؛ ۸۹۰۷۴۳۶ مورد
۲٫ aol.com؛ ۸۳۹۷۰۸۰ مورد
۳٫ comcast.net؛ ۷۸۸۶۴۱ مورد
۴٫ yahoo.co.in؛ ۴۳۳۴۱۹ مورد
۵٫ sbcglobal.net؛ ۴۳۲۱۲۹ مورد
۶٫ msn.com؛ ۴۱۴۹۱۲ مورد
۷٫ rediffmail.com؛ ۳۱۶۱۲۸ مورد
۸٫ yahoo.co.uk؛ ۲۹۴۴۲۷ مورد
۹٫ yahoo.fr؛ ۲۸۶۸۳۵ مورد
۱۰٫ verizon.net؛ ۲۸۲۲۷۹ مورد