Entreprise d'envoi de spam

spams phpmailers

Alors que les acteurs malveillants ont développé d'innombrables méthodes d'attaque, le spam reste à ce jour un vecteur de menace important pour les entreprises. La statistiques les plus récentes sur le spam sont révélateurs du danger que représente le spam :

  • 95 % de toutes les attaques ciblant les réseaux d'entreprise sont causées par un spear phishing réussi.
  • Une seule attaque de spear phishing entraîne une perte moyenne de 1.6 million de dollars.
  • 30 % des e-mails de phishing sont ouverts par les utilisateurs, et 12 % de ces utilisateurs ciblés cliquent sur le lien ou la pièce jointe malveillants.
  • 1 employé sur 8 partage des informations sur un site de phishing.

De nombreux spammeurs n'ont pas le temps, l'expertise et les ressources nécessaires pour acquérir une infrastructure capable de pomper de grandes quantités de spams. À la place, les spammeurs louent des infrastructures qui ont été piratés par d'autres et l'utilisent pour envoyer du spam aussi longtemps qu'ils le peuvent.

Abus de la bibliothèque PHPMailer

PHPMailer est peut-être le plus ancien, et bibliothèque la plus populaire en PHP pour envoyer des e-mails. Tout le monde peut le télécharger depuis Github et l'installer en quelques minutes. La bibliothèque est connue pour sa fiabilité et son efficacité. Il offre également des fonctionnalités telles que la possibilité d'envoyer des e-mails HTML et non HTML, et de fournir de nombreux messages d'erreur pour signaler ses activités. 

Il n'est pas surprenant de voir que ce scénario a été largement adopté dans la clandestinité criminelle. De nombreux messages dans des forums clandestins parlent favorablement de la bibliothèque. On retrouve par exemple :

L'utilisation d'un mailer SMTP (comme phpmailer par exemple) est une option bien meilleure et plus facile, car elle vous donne beaucoup plus d'options prêtes à l'emploi.

Le script peut être installé par des acteurs malveillants sur un serveur Web qui a été piraté. Les ressources et la réputation du serveur sont alors abusées pour envoyer du spam qui semble provenir d'une source légitime.

Une autre option consiste pour les acteurs malveillants à exploiter une vulnérabilité dans une version installée de PHPMailer pour lui faire envoyer du spam. PHPMailer est régulièrement mis à jour pour corriger les failles de sécurité, mais n'est pas toujours mis à jour en temps opportun sur les serveurs Web. Cela ouvre une fenêtre d'attaque importante qui peut être exploitée par des acteurs malveillants.

Location de PHPMailers

Il existe des dizaines de places de marché qui facilitent la vente de nombreux biens et services illicites, notamment PHPMailer piraté installations. Nous avons collecté pendant une période de 10 jours en avril 2021 tous les PHPMailers à louer sur une de ces places de marché de trois pays : le Canada, les États-Unis et la France. Nous présenter ci-dessous notre analyse des PHPMailers à louer. Plus précisément, nous regardons les profil des vendeurs ainsi que le profil des installations PHPMailer piratées. 

Profil des fournisseurs

Certains vendeurs semblent être plus actifs que d'autres sur le marché. Malheureusement, on sait très peu de choses sur les vendeurs eux-mêmes au-delà d'un identifiant créé par le marché. Le vendeur principal, seller26, a affiché environ 20% de toutes les installations PHPMailer à louer. Vendeur165 et seller138 venez avec 10% chacun de tous les PHPMailers. Il existe donc une groupe distinct de vendeurs capable de publier plus de PHPMailers, et ce groupe est composé d'environ 10 vendeurs. 

Pour calculer les revenus des vendeurs, nous avons additionné le prix des PHPMailers vendus pour chaque vendeur. Cela nous a fourni une estimation des revenus sur 9 jours pour chaque vendeur, que nous pouvons utiliser pour extrapoler les revenus au cours d'une année, si leurs revenus évoluent de manière linéaire. 

table business d'envoi de spam

Nos estimations suggèrent que les vendeurs ne gagnent en moyenne que quelques centaines de dollars par an en vendant des PHPMailers. Bien sûr, ces vendeurs peuvent probablement compter sur plusieurs sources de revenus, ce chiffre ne représente donc pas l'intégralité de leurs revenus. Le plus gros revenu, le vendeur26, a probablement gagné plus de 165,000 8 $ sur ce seul marché. Seuls 20,000 autres vendeurs ont probablement franchi la barrière des 115 5 $. Bien qu'il semble y avoir une corrélation entre le nombre de PHPMailers à vendre et les revenus, le lien n'est pas parfait car sellerXNUMX, par exemple, est le deuxième meilleur revenu, mais arrive en XNUMXème lorsque l'on compte le nombre de PHPMailers à vendre.

Profil des installations PHPMailer piratées

Lorsque nous avons testé les 5,773 2,395 PHPMailers que nous avons observés sur le marché, nous n'avons reçu que XNUMX XNUMX e-mails de test. Cela suggère une 41 taux de réussite%

Cela ne signifie pas que 59% des PHPMailers à vendre sont frauduleux, ce qui signifie qu'ils ne pourraient pas être utilisés pour envoyer des spams s'ils étaient loués. Il y a plusieurs raisons pourquoi les e-mails n'arrivent pas à destination, et nous n'avons malheureusement pas pu tester chaque PHPMailer plus d'une fois pour des raisons techniques. Pourtant, c'est quelque chose à considérer lors de l'évaluation du service du marché.

Pour chaque PHPMailer, nous avons obtenu le nom de domaine du serveur il était hébergé sur. Nous avons essayé de télécharger la page d'accueil de chaque domaine, en cinglant soit le nom de domaine lui-même, soit en ajoutant www si rien n'a été renvoyé au premier essai. Dans cette analyse, nous avons constaté que seuls 394 sites Web étaient réellement opérationnels. Cela suggère que seulement 7% des PHPMailers sont exécutés sur des serveurs hébergeant en fait un site Web, la plupart d'entre eux étant exécutés à partir de serveurs Web qui ne semblent pas être utilisés actuellement pour héberger un site Web. Nous avons extrait pour chacun le contenu de la balise title de la page. La le nuage de mots ci-dessous présente les principaux mots présents dans les titres. Nous remarquons que Outils de gestion et article sont les deux mots les plus couramment trouvés, les désignant peut-être comme des cibles d'acteurs malveillants. Le mot Grèce semble être prédominant, mais cela est principalement dû à une seule page Web sur les yachts grecs et la voile dont le mot est répété maintes et maintes fois dans le titre. Une autre découverte intéressante est le mot Société ce qui suggère que de nombreux services d'hébergement semblent être liés à des entreprises plutôt qu'à des particuliers.

Enfin, nous avons calculé la âge moyen des PHPMailers, sens depuis combien de temps ils étaient à vendre. Nos données suggèrent qu'en moyenne, les PHPMailers sont en vente entre 30 jours (France, Canada) et 87 jours (États-Unis). Le nombre plus élevé pour les États-Unis peut s'expliquer par le niveau de concurrence plus élevé entre les vendeurs et l'offre accrue de PHPMailers. L'âge maximum des PHPMailers est d'environ 450 jours, ce qui signifie que les PHPMailers invendus restent disponibles sur le site même lorsqu'ils ne sont probablement plus opérationnels, ou n'ont pas été maintenus depuis un certain temps.

Conclusions

Notre analyse du marché suggère qu'il est extrêmement facile pour les acteurs malveillants de louer PHPMailers pour envoyer des spams. Il existe des milliers de PHPMailers disponibles chaque jour. Ceux-ci peuvent être loués pour quelques dollars seulement. Cela signifie que même lorsque les expéditeurs ne fonctionnent pas correctement, ils peuvent être remplacés rapidement et à moindre coût. 

Nos résultats mettent en évidence le défi de détecter et de bloquer le spam entrant dans votre réseau d'entreprise. Des acteurs malveillants louent des serveurs privés virtuels qui devraient avoir une réputation assez élevée. Ils sont, ou ont été à un moment donné, utilisés pour héberger des blogs et des sites Web d'entreprise, et semblent donc légitimes. Les e-mails provenant de ces serveurs sont susceptibles d'être considérés comme anodins, même s'ils peuvent propager des logiciels malveillants, ou liens vers des sites de phishing

Notre analyse interroge la rôle des services d'hébergement Web dans la prévention du spam. Certaines sociétés d'hébergement Web surveillent activement ce que leurs clients font avec leurs serveurs et leur connexion Internet. Il y a clairement un débat à avoir sur la liberté d'opérer sans la surveillance des grandes entreprises, et la liberté qu'internet était censé offrir à ses utilisateurs. Néanmoins, étant donné l'impact significatif que le spam a sur les entreprises, grandes et petites, la question demeure de savoir si les hébergeurs web doivent être de bons citoyens et détecter aussi souvent que possible ces PHPMailers piratés. Le nombre limité de services d'hébergement Web nous aide également à comprendre comment de petits changements apportés à quelques fournisseurs seulement pourraient grandement contribuer à lutter contre le spam.

Alors que doit faire votre entreprise ?

Ce rapport suggère que le spam que vous recevez quotidiennement pourrait provenir de serveurs privés virtuels jouissant d'une excellente réputation. Votre entreprise devrait se renseigner auprès de vos fournisseurs de filtrage de messagerie comment ces e-mails sont traités et s'ils font l'objet d'une inspection supplémentaire compte tenu de la nature suspecte de leur expéditeur.

Vous devez également savoir que le spam peut provenir et proviendra de tous les pays du monde, et que Les serveurs canadiens ne sont pas à l'abri de l'envoi de spam. Beaucoup pensent que le spam provient principalement de serveurs russes et chinois, mais la plupart des spams facilités par Olux.io devrait provenir des États-Unis. Cela nous rappelle que toute analyse de géolocalisation pour le spam ne nous protégera probablement pas beaucoup du spam entrant. 

Vous pourriez aussi intégrer le flux de données pour le fournisseur de services d'hébergement dans vos systèmes de filtrage de spam pour examiner de plus près les e-mails provenant de services d'hébergement qui semblent être victimes de PHPMailers piratés. Nous avons identifié les plus grands acteurs de cet écosystème, et il peut être raisonnable de jeter un second regard sur les e-mails provenant des serveurs Web de ces entreprises.

Partager cet article

Équipe de recherche

Flare’s research team conducts investigations and experiments in order to gather data, create new knowledge, and develop new ideas. This helps our team stay ahead of emerging threats and also add insight to our product roadmap.

Contenu similaire