Dropbox: geen aanwijzingen voor hack na spamronde

Toevallig is het wel erg waarschijnlijk dat het hier slechts om 1 botnet gaat, omdat de mails allemaal over casino's gaan binnen hetzelfde refferal programma. Het botnet blokkeren is echter onbegonnen werk, al kom je met reguliere spam blocklist providers al een heel eind. Het is echter makkelijker om de casino's (SP Casino, Euro Dice, ed.) te blokkeren in een content filter.

Het ineens geen spam meer ontvangen lijkt mij ook erg onwaarschijnlijk, ik vermoed dat hiermee wordt bedoeld dat na het aanmaken van een nieuw mailaccount er niet nieuwe spam werd verzonden naar het nieuwe account.

Of het werkelijk een hack is zullen we waarschijnlijk niet snel achter komen. Goed dat Dropbox een extern team heeft ingehuurd om dit uit te zoeken, imho geeft dat een iets betere indruk dan dat ze het zelf proberen uit te zoeken.

Ik vind trouwens wel dat Dropbox met weinig alternatieven aan komt zetten. Dat verhaal van de refferals, onbeveiligde verbindingen, dat de mail onderschept werd, een afluisterende ISP, ed. is allemaal afkomstig van de user base. Zolang Dropbox die alternatieven al niet serieus neemt moeten de emails toch ergens anders vandaan komen. Het gebeurt natuurlijk niet zomaar dat honderden gebruikers op een specifiek email adres voor een betaalde dienst spontaan toegevoegd zijn aan een spamlist.

Dat is ook de reden dat ik op het forum wijs op het feit dat het nog te vroeg is om een hack uit te sluiten. Gezien de omstandigheden lijkt het nog weldegelijk waarschijnlijk dat er ergens iets gehacked is, al is dat bij Dropbox of elders. Maar ik sluit ook niet uit dat de data is verkregen bij eerdere lekken, en nu pas is doorverkocht of verwerkt.

EDIT:
De volledige lijst met casino's (Dirk K op pagina 6)

• EuroGaming Palace
• Euro Gaming Palace
• Premier Players Club
• PP Club
• Premier Winners
• Club Premier Winners
• Premier Gaming
• SP Gaming Club
• PPC Support
• VegasVirtual
• Vegas Club
• Vegas Virtual Club
• sp club
• SP Casino
• Bet2day Support
• Euro Dice Stars
• EU Dice Club

Meer info over het affilate programma in de post van Adam H op pagina 7:

After a little investigation I might shed some light on this spam.

All you can do on the spamvertized websites is download a casino-client binary. The file SetupClubdice_21756e.exe (MD5 881e3d78c9ce1fd9a2a6372219b6cc8b) is harmless. It has been known since early 2011 and although it is recognized by some antivirus platforms as "suspicious" (https://www.virustotal.co...e8c5/analysis/1342613446/), it doesn't do anything like steal your data or connect to C&C (http://anubis.iseclab.org...35b7c672fd3f3&format=html). Instead, it's part of a referal program called AffClub (https://www.affclub.com/). You can see all the brands on their webpage - Euro Dice is one of them (brand list helps to set up spam filters).

Full analysis of the binary file can be found here: http://eureka.cyber-ta.or...c9ce1fd9a2a6372219b6cc8b/ - check strings or DNS - it's just a program affiliate, who gets $150 for every user he drags into one of those casinos.

This is also the reason US customers will never see this spam - US is on their "forbidden" list

"As of 2nd October 2006 our definition of Real Money Players will no longer include players who are located within the US. The Unlawful Internet Gambling Enforcement Act of 2006 will prevent us from accepting U.S. consumer deposits for the purpose of betting or wagering. Since we will not be able to generate any revenue from new or existing US players in the future, we will not be able to pay out any revenue share for existing users or CPA payments for new users coming from the US."

Ik ben het trouwens niet helemaal eens met Adam dat het bestand er onschuldig uitziet, het zou volgens mij zomaar kunnen dat de spam ook wordt verstuurd vanaf die clients. Maar ik ben niet bekend met de website waar hij naar linkt.

Nog steeds een intressante mogelijkheid, waar verbazend weinig aandacht voor is, is de sniffer , genoemd op pagina 4 door Even E.

It sounds like a German or European ISP (possibly back end provider) may a sniffer on a major router. I found one on a California ISP once that was collecting emails and login/passwords to adult sites.

EDIT2:
Ik ontving trouwens deze spam al langer. Het specifieke botnet is dus inderdaad al langer actief. Het is een vrij intelligent botnet, wat vrij beangstigend is, omdat het connecties legt en die in de CC zet. Zo ontving ik een CC van de spam die mijn collega's in het zelfde domein kregen, en vice versa. Dit is verband hebben ze waarschijnlijk niet via (de traffic naar) de mailserver kunnen leggen, want wij mailen intern via onze eigen server en secured. Maar de adressen zijn wel online te vinden.

In ieder geval, mijn eigen spam is dus niet direct terug te brengen op Dropbox, en bovendien heb ik geen Dropbox-specifiek emailadres. Wel krijgen collega's die de spam normaal nooit kregen (en anonieme adressen hebben, m.a.w. niet in Google index), en wel een Dropbox account hebben, sinds enkele dagen massaal (tussen de 1 en 30x per dag) spam van de desbetreffende casino's. Overigens zijn er op het forum ook alarmerende meldingen over CC's, zelfs naar bijvoorbeeld klanten waar zij drie jaar lang geen contact meer mee hadden gehad.

[Reactie gewijzigd door JanWillemGM op 23 juli 2024 15:39]