Μηνύματα σε email εκστρατεία που φέρουν το TorrentLocker ransomware χρησιμοποιούν την τεχνική προδιαγραφή DMARC (Domain-based Message Authentication, Reporting and Conformance) για να ξεγελάσουν τα φίλτρα spam και να επιστρέψουν reports στον κακόβουλο αποστολέα.


Το DMARC στηρίζεται στο SPF (Sender Policy Framework) και το DKIM (DomainKeys Identified Mail), που είναι δύο μηχανισμοί επικύρωσης email που χρησιμοποιούνται για να καθορίσουν ότι το μήνυμα προέρχεται από έναν host, εξουσιοδοτημένο από το διαχειριστή του τομέα του και ότι η επικοινωνία δεν έχει αλλοιωθεί στο ενδιάμεσο.

Η χρήση των πολιτικών DMARC δεν υπάγονται σε κανένα περιορισμό και είναι διαθέσιμες στο public DNS (σύστημα ονομάτων τομέα), πράγμα που σημαίνει ότι μπορούν να χρησιμοποιηθούν από νόμιμα αλλά και από κακόβουλα μέρη.

Το TorrentLocker είναι ένα σχετικά νέο ransomware με δυνατότητες κρυπτογράφησης αρχείων. Έχει εντοπιστεί από τον Αύγουστο του 2014 και έχει επηρεάσει χιλιάδες χρήστες σε όλο τον κόσμο. Ερευνητές ασφαλείας βρήκαν ότι σε ένα μήνα, εγκληματίες του κυβερνοχώρου ήταν σε θέση να εισπράξουν τα κέρδη περίπου 224.000 δολ. / 200.000 ευρώ.

Δεδομένα από την Trend Micro που συγκεντρώθηκαν μέσω της πλατφόρμας Smart Protection Network, δείχνουν ότι οι χρήστες στην Αυστραλία είναι ο κύριος στόχος αυτής της εκστρατείας, με ένα ποσοστό μόλυνσης του 67,7%, αρχής γενομένης από το Νοέμβριο του 2014.

Άλλες χώρες που έχουν πληγεί από το κακόβουλο λογισμικό είναι οι ΗΠΑ (7,13%), η Ιταλία (6,65%), οι Φιλιππίνες (3,09%) και η Γαλλία (2,14%).

Οι ερευνητές λένε ότι η εκστρατεία έχει τα σκαμπανεβάσματα της, με μια σημαντική αύξηση να καταγράφεται τον Δεκέμβριο του 2014, ενώ ακολούθησε πτώση τον Ιανουαρίου 2015 με αύξηση και πάλι το Φεβρουάριο.

Χρησιμοποιώντας την προδιαγραφή DMARC , οι απατεώνες μπορούν να λάβουν σημαντικές πληροφορίες σχετικά με την επιτυχία της επιχείρησης, η οποία θα τους επιτρέψει να βελτιώσουν τη στρατηγική και την τακτική τους έτσι ώστε τα μηνύματα να φτάσουν σε ένα μεγαλύτερο αριθμό πιθανών θυμάτων.

Μια λεπτομέρεια που είναι διαθέσιμη είναι η ποσότητα των μηνυμάτων που απέτυχε να περάσει το SPF / την επαλήθευση DKIM και τέθηκε σε καραντίνα ή απορρίφθηκε, καθώς και ο αριθμός των μηνυμάτων ηλεκτρονικού ταχυδρομείου που πέρασαν.

Επιπλέον, θα είναι σε θέση να δουν ορισμένα δεδομένα που εξάγονται από αποτυχημένα μηνύματα (πληροφορίες κεφαλίδας και τα URI στο body). Αυτό, φυσικά, θα είναι διαθέσιμο μόνο αν ο διακομιστής αλληλογραφίας περιλαμβάνει υποστήριξη για την υπηρεσία αυτή.

Μετά από ανάλυση του SPF και DMARC, οι ερευνητές παρατήρησαν ότι ο επιτιθέμενος συνέλεξε στοιχεία από τα απορριφθέντα emails, τα οποία περιελάμβαναν το όνομα του παροχέα υπηρεσιών Internet (ISP), του παρόχου email, στοιχεία επικοινωνίας, διευθύνσεις IP, και τα SPF και DKIM αποτελέσματα ελέγχου ταυτότητας.

Αυτά είναι πολύτιμα δεδομένα που επιτρέπουν την αλλαγή της μεθόδου μελλοντικών εκστρατειών spam, γεγονός που δύναται να τις καταστήσει πιο στοχευμένες προκειμένου να φτάσουν σε ένα ευρύτερο ακροατήριο.