Мащабна кампания за рекламни измами, наречена „SubdoMailing“, използва над 8000 легитимни интернет домейна и 13 000 поддомейна, за да изпраща до пет милиона имейла на ден и да генерира приходи чрез измами и злонамерена реклама.
Кампанията е наречена „SubdoMailing, тъй като извършителите превземат изоставени поддомейни и домейни, принадлежащи на известни компании, за да изпращат своите злонамерени имейли.
Тъй като тези домейни принадлежат на доверени компании, те се възползват от възможността да заобиколят филтрите за спам и в някои случаи да се възползват от конфигурираните политики за електронна поща SPF и DKIM, които казват на защитените имейл шлюзове, че имейлите са легитимни, а не спам.
Сред известните марки, станали жертва на тази кампания за отвличане на домейни, са MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel и eBay.
Тези известни марки неволно придават легитимност на измамните имейли и им помагат да преминат през филтрите за сигурност.
Щракването върху вградените в имейлите бутони препраща потребителите през поредица от пренасочвания, което генерира приходи за заплахата чрез измамни реклами. В крайна сметка потребителят стига до фалшиви подаръци, сканирания за сигурност, проучвания или партньорски измами.
Изследователите от Guardio Labs Нати Тал и Олег Зайцев откриха кампанията за рекламни измами и съобщиха, че операцията е в ход от 2022 г. насам.
Примери за измамни имейли
Източник:Guardio Labs
Разследването на Guardio Labs започна с откриване на необичайни модели в метаданните на имейлите, което доведе до разкриването на мащабна операция за отвличане на поддомейни.
Проучване на случай на имейл, фалшиво оторизиран от MSN, показва разнообразието от тактики, използвани от нападателите, за да накарат имейлите им да изглеждат легитимни и да избегнат блокиране, включително злоупотреба с проверките SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting, and Conformance) протоколи.
Тези политики за електронна поща се използват, за да се докаже на защитените шлюзове за електронна поща, че подателят на дадено електронно писмо е легитимен и не трябва да се третира като спам.
Тактики, комбинирани от субекта на заплахата
Източник: Guardio Labs
Кампанията SubdoMailing е насочена към домейни и поддомейни на авторитетни организации, като се опитва да ги превземе главно чрез превземане на CNAME и използване на SPF записи.
При атаките със CNAME заплахите сканират за поддомейни на реномирани марки със записи CNAME, сочещи към външни домейни, които вече не са регистрирани. След това те сами регистрират тези домейни чрез услугата NameCheap.
Отвличане на уязвими поддомейни
Източник: Guardio Labs
Вторият метод включва разглеждане на SPF записите на целевите домейни, които използват опцията на конфигурацията „include:“, сочеща към външни домейни, които вече не са регистрирани.
Опцията SPF include се използва за импортиране на разрешени изпращачи на имейли от външния домейн, който вече е под контрола на заплахата.
Нападателите регистрират тези домейни и след това променят техните SPF записи, за да разрешат собствените си злонамерени имейл сървъри. По този начин имейлите на заплахата изглеждат като законно идващи от авторитетен домейн, например MSN.
Похищение на базата на SPF
Източник: Guardio Labs
Операцията обикновено използва отвлечените домейни за изпращане на спам и фишинг имейли, хостинг на фишинг страници или хостинг на измамно рекламно съдържание.
Guardio Labs приписва кампанията на извършител, когото наричат „ResurrecAds“, който систематично сканира мрежата за домейни, които могат да бъдат отвлечени, като осигурява нови хостове и IP адреси и прави целеви покупки на домейни.
За да поддържа мащаба и сложността на операцията, заплахата постоянно обновява огромна мрежа от отвлечени и придобити домейни, SMTP сървъри и IP адреси.
Ежедневна дейност по регистрация на домейни
Източник: Guardio Labs
Guardio Labs твърди, че SubdoMailing използва близо 22 000 уникални IP адреса, хиляда от които изглежда са прокси сървъри за жилищни сгради.
Понастоящем кампанията функционира чрез глобално разпределени SMTP сървъри, конфигурирани да разпространяват измамни имейли чрез огромна мрежа от 8000 домейна и 13 000 поддомейна.
Оперативен размер на SubdoMailing
Източник: Guardio Labs
Броят на имейлите, които достигат до целите, надхвърля 5 000 000 дневно. Макар че печалбата на нападателя от това е невъзможно да се оцени, мащабът на операцията и обемът на измамните имейли безспорно са огромни.
Guardio Labs създаде сайт за проверка на SubdoMailing, който може да позволи на собствениците на домейни да открият дали тяхната марка е обект на злоупотреба и да предприемат действия за нейното спиране или предотвратяване.
Базова информация и инфографики: Guardio Lab
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.