База належить спам-боту Onliner, що ширить троянець Ursnif.

Французький дослідник безпеки під псевдонімом Benkow виявив у відкритому доступі найбільшу спамерських базу на одному з web-серверів в Нідерландах. У базі містилося величезна кількість email-адрес, паролів для доступу до поштових скриньок і величезний перелік поштових серверів для розсилки спаму. Згідно Benkow, база належить спам-боту "Onliner". Зловмисники використовують спам-бот для поширення трояна Ursnif по електронній пошті. Ursnif призначається для розкрадання облікових даних користувачів і збору інформації про кредитні картки.

Загалом складності в базі було виявлено 711 мільйонів унікальних email-адрес, 80 мільйонів записів, що містять облікові дані користувачів, список валідних SMTP-серверів для розсилки спаму.

Наявність логіна, пароля і поштового сервера дозволяє зловмисникам обходити спам-фільтри і успішно доставляти шкідливе ПО потенційним жертвам.

За словами дослідника, спамери використовували валідниє облікові дані на поштових серверах для відправки фішингових листів жертвам зі списку. Атака здійснювалася в кілька етапів. Спочатку жертві відправлялося нейтральне лист, що містить посилання на зображення, яке перебуває на сервері, підконтрольному зловмисниками. Якщо жертва відкривала лист і завантажувала картинку, зловмисники отримували можливість зібрати необхідні дані про жертви для здійснення наступного етапу атаки. Якщо система користувача відповідала вимогам для установки троянського додатка, користувачеві відправлялося другий лист зі шкідливим вкладенням.