Търсене
Close this search box.

Мащабна кампания за рекламни измами, наречена „SubdoMailing“, използва над 8000 легитимни интернет домейна и 13 000 поддомейна, за да изпраща до пет милиона имейла на ден и да генерира приходи чрез измами и злонамерена реклама.

Кампанията е наречена „SubdoMailing, тъй като извършителите превземат изоставени поддомейни и домейни, принадлежащи на известни компании, за да изпращат своите злонамерени имейли.

Тъй като тези домейни принадлежат на доверени компании, те се възползват от възможността да заобиколят филтрите за спам и в някои случаи да се възползват от конфигурираните политики за електронна поща SPF и DKIM, които казват на защитените имейл шлюзове, че имейлите са легитимни, а не спам.

Сред известните марки, станали жертва на тази кампания за отвличане на домейни, са MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel и eBay.

Тези известни марки неволно придават легитимност на измамните имейли и им помагат да преминат през филтрите за сигурност.

Щракването върху вградените в имейлите бутони препраща потребителите през поредица от пренасочвания, което генерира приходи за заплахата чрез измамни реклами. В крайна сметка потребителят стига до фалшиви подаръци, сканирания за сигурност, проучвания или партньорски измами.

Изследователите от Guardio Labs Нати Тал и Олег Зайцев откриха кампанията за рекламни измами и съобщиха, че операцията е в ход от 2022 г. насам.

Samples of the fraudulent emails
Примери за измамни имейли
Източник:Guardio Labs

Отвличане на домейни за разпространение на спам

Разследването на Guardio Labs започна с откриване на необичайни модели в метаданните на имейлите, което доведе до разкриването на мащабна операция за отвличане на поддомейни.

Проучване на случай на имейл, фалшиво оторизиран от MSN, показва разнообразието от тактики, използвани от нападателите, за да накарат имейлите им да изглеждат легитимни и да избегнат блокиране, включително злоупотреба с проверките SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting, and Conformance) протоколи.

Тези политики за електронна поща се използват, за да се докаже на защитените шлюзове за електронна поща, че подателят на дадено електронно писмо е легитимен и не трябва да се третира като спам.

Tactics combined by the threat actor
Тактики, комбинирани от субекта на заплахата
Източник: Guardio Labs

Кампанията SubdoMailing е насочена към домейни и поддомейни на авторитетни организации, като се опитва да ги превземе главно чрез превземане на CNAME и използване на SPF записи.

При атаките със CNAME  заплахите сканират за поддомейни на реномирани марки със записи CNAME, сочещи към външни домейни, които вече не са регистрирани. След това те сами регистрират тези домейни чрез услугата NameCheap.

Hijacking vulnerable subdomains

Отвличане на уязвими поддомейни
Източник: Guardio Labs

Вторият метод включва разглеждане на SPF записите на целевите домейни, които използват опцията на конфигурацията „include:“, сочеща към външни домейни, които вече не са регистрирани.

Опцията SPF include се използва за импортиране на разрешени изпращачи на имейли от външния домейн, който вече е под контрола на заплахата.

Нападателите регистрират тези домейни и след това променят техните SPF записи, за да разрешат собствените си злонамерени имейл сървъри. По този начин имейлите на заплахата изглеждат като законно идващи от авторитетен домейн, например MSN.

SPF-based hijacking
Похищение на базата на SPF
Източник: Guardio Labs

Операцията обикновено използва отвлечените домейни за изпращане на спам и фишинг имейли, хостинг на фишинг страници или хостинг на измамно рекламно съдържание.

Мащабна кампания

Guardio Labs приписва кампанията на извършител, когото наричат „ResurrecAds“, който систематично сканира мрежата за домейни, които могат да бъдат отвлечени, като осигурява нови хостове и IP адреси и прави целеви покупки на домейни.

За да поддържа мащаба и сложността на операцията,  заплахата постоянно обновява огромна мрежа от отвлечени и придобити домейни, SMTP сървъри и IP адреси.

Daily domain registration activity
Ежедневна дейност по регистрация на домейни
Източник: Guardio Labs

Guardio Labs твърди, че SubdoMailing използва близо 22 000 уникални IP адреса, хиляда от които изглежда са прокси сървъри за жилищни сгради.

Понастоящем кампанията функционира чрез глобално разпределени SMTP сървъри, конфигурирани да разпространяват измамни имейли чрез огромна мрежа от 8000 домейна и 13 000 поддомейна.

Operational size of SubdoMailing
Оперативен размер на SubdoMailing
Източник: Guardio Labs

Броят на имейлите, които достигат до целите, надхвърля 5 000 000 дневно. Макар че печалбата на нападателя от това е невъзможно да се оцени, мащабът на операцията и обемът на измамните имейли безспорно са огромни.

Guardio Labs създаде сайт за проверка на SubdoMailing, който може да позволи на собствениците на домейни да открият дали тяхната марка е обект на злоупотреба и да предприемат действия за нейното спиране или предотвратяване.

Базова информация и инфографики: Guardio Lab

Източник: По материали от Интернет

Подобни публикации

13 декември 2024

Silent Push набра 10 млн. долара за платформа з...

Фирмата за разузнаване на заплахи Silent Push е депозирала 10 млн. ...
13 декември 2024

Фишинг - тихият предвестник на пробивите

Фишингът е една от най-разпространените тактики, техники и процедур...
13 декември 2024

Фалшиви ИТ работници превеждат милиони на Север...

В четвъртък Министерството на правосъдието на САЩ обяви обвиненията...
12 декември 2024

Изследователи разбиват Microsoft Azure MFA за е...

Изследователи разбиха метод за многофакторно удостоверяване (MFA) в...
12 декември 2024

Apple пусна големи актуализации на сигурността ...

В Купертино денят на кръпките е сряда тихоокеанско време. Екипът за...
12 декември 2024

27 услуги за DDoS атаки са свалени от Европол

Международна операция на правоприлагащите органи, насочена срещу ра...
12 декември 2024

Ключове за разбиране на MDR, EDR, NDR, XDR (ЧАС...

Еволюция на решенията за откриване и реагиране (DR) През последното...
12 декември 2024

Пионерът в симетричната криптография се насочва...

Бъдещето, в което се използват квантови изчисления, не е далеч, но ...
Бъдете социални
Още по темата
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
08/12/2024

Тексаски тийнейджър е арест...

Преследването на членовете на Scattered Spider,...
06/12/2024

Европол закри Manson Market...

В четвъртък Европол обяви спирането на...
Последно добавени
13/12/2024

Silent Push набра 10 млн. д...

Фирмата за разузнаване на заплахи Silent...
13/12/2024

Фишинг - тихият предвестник...

Фишингът е една от най-разпространените тактики,...
13/12/2024

Фалшиви ИТ работници превеж...

В четвъртък Министерството на правосъдието на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!