Botnet verstuurt 30.000 sextortion e-mails per uur

Online beveiliger Check Point is een botnet op het spoor gekomen dat 30.000 sextortion e-mails per uur kan verzenden. Bij sextortion ontvangen slachtoffers een e-mail waarin de afzender dreigt om intieme beelden – vastgelegd met de webcam – online te verspreiden. Iets dat kan worden voorkomen door te betalen.

De verantwoordelijke malware, Phorpiex, is al ongeveer tien jaar actief en infecteerde meer dan 450.000 computers. In het verleden verdienden de makers vooral geld met het verspreiden van verschillende malwarefamilies of het ‘mijnen’ van cryptomunten .
Sinds kort ziet Check Point dat Phorpiex een nieuwe inkomstenbron aan zijn arsenaal heeft toegevoegd: een spambot die wordt gebruikt om sextortioncampagnes uit te voeren op ongekende schaal.

Phorpiex maakt gebruik van een spambot die een database met e-mailadressen van een zogenaamde Command & Control server downloadt. Vervolgens wordt er willekeurig een e-mailadres geselecteerd uit de gedownloade database en wordt er een bericht samengesteld.

Voor het verzenden van e-mails gebruikt Phorpiex een eenvoudige implementatie van het SMTP-protocol, de de-facto-standaard voor het versturen van mail. Het adres van de SMTP-server is afgeleid van de domeinnaam van een e-mailadres. Nadat de spambot een verbinding met de SMTP-server tot stand heeft gebracht en een uitnodigingsbericht heeft ontvangen,verzendt de spambot een bericht met een eigen extern IP-adres.

Kennelijk werkt de dreiging, want Check Point signaleert ook vele bitcoinbetalingen.