Millionen von E-Mail-Adressen geleakt:
Botnetz "Trik" hat klare Ziele

Eigentlich war er damit beschäftigt eine Malware-Kampagne zu analysieren, dabei ist ein Sicherheitsforscher jetzt aber auf eine Datenbank des seit einem Jahrzehnt aktiven Spam-Botnetzes "Trik" gestoßen. Die Liste mit mehr als 44 Millionen E-Mail-Adressen war wegen eines Fehlers öffentlich abrufbar und zeigt klar, wen die Hintermänner ins Visier nehmen.

Da war der Spam-Server einfach nicht gut konfiguriert

Um ihre Spam-Nachrichten versenden zu können, benötigen die Hintermänner natürlich entsprechende Listen von E-Mail-Adressen. Auf dem Command-and-Control-Server eines Spam-Botnetzes namens "Trik" hat jetzt ein Sicherheitsforscher des Softwareunternehmens Vertek Corporation eine solche Liste mit insgesamt mehr als 44 Millionen E-Mail-Adressen entdeckt. Wie dem Bericht von Bleeping Computer zu entnehmen ist, hatte der Experte eine aktuelle Malware-Kampagne untersucht, bei der eine Version des Trik-Trojaners genutzt wurde, um Opfer in einer zweiten Stufe mit der Ransomware GandCrab 3 zu infizieren. Eigentlich hatte er eine Malware-Kampagne untersucht... Bei dieser Untersuchung stellte der Sicherheitsforscher fest, dass sich der Download zu einem Server mit einer russischen IP-Adresse zurückverfolgen ließ. Bei der weiteren Untersuchung zeigte sich laut dem Vertek-Corporation-Mitarbeiter dann, dass die Hintermänner den Server falsch konfiguriert und so die Inhalte für jedermann zugänglich gemacht hatten, der die IP-Adresse direkt ansteuert. Auf dem Server entdeckte der Sicherheitsforscher dann 2201 Textdateien, die jeweils rund 20.000 E-Mail-Adressen enthielten. ...doch dann fand der Forscher Millionen von E-Mails "Wir haben sie alle heruntergeladen und überprüft", so der Forscher gegenüber Bleeping Computer. "Von 44,020,000 potenziellen Adressen sind 43,555,741 einzigartig." Darüber hinaus wurde auf Basis dieser Analyse eine Liste angefertigt, die genau aufzeigt, von welchen Domains die E-Mail-Adressen stammen. "Die Mail-Adressen sind von überall (...) alles von gov. bis .com und Domains von einigen Privatunternehmen", so der Forscher.

Vor allem alte Anbieter in der Liste

Ein genauer Blick auf die Auswertung zeigt dabei klar, dass die Liste sich zu großen Teilen aus recht alten E-Mail-Adressen zusammensetzt, so entfallen alleine auf Yahoo 10.6 Millionen und auf AOL 8.3 Millionen Einträge. In der vom Forscher bereitgestellten "Top 100" der Domains, die in der Liste enthalten sind, finden sich auch gut 57.000 Einträge vom deutschen Anbieter web.de. Die Schlussfolgerung des Sicherheitsforschers: Da sich vor allem ältere Anbieter in der Liste finden, scheint diese entweder unvollständig oder die Hintermänner zielen eben ganz bewusst auf Opfer, die "ältere E-Mail-Dienste" nutzen.