O campanie masivă de fraudă publicitară numită „SubdoMailing” folosește peste 8.000 de domenii internet legitime și 13.000 de subdomenii pentru a trimite până la cinci milioane de e-mailuri pe zi, generând venituri prin escrocherii și publicitate malicioasă.
Campania este denumită „SubdoMailing”, deoarece actorii de amenințare preiau subdomenii și domenii abandonate aparținând unor companii cunoscute pentru a trimite e-mailuri lor maligne.
Câteva mărci notabile care au căzut victimă acestei campanii de preluare a domeniilor includ MSN, VMware, McAfee, The Economist, Universitatea Cornell, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel și eBay.
Aceste mărci de renume împrumută involuntar legitimitate e-mailurilor frauduloase și le ajută să treacă de filtrele de securitate.
Făcând clic pe butoanele încorporate din e-mailuri, utilizatorii sunt redirecționați printr-o serie de redirecționări, generând venituri pentru actorii de amenințare prin vizualizări frauduloase de reclame. În cele din urmă, utilizatorul ajunge la oferte false, scanări de securitate, sondaje sau escrocherii afiliate.
Cercetătorii de la Guardio Labs, Nati Tal și Oleg Zaytsev, au descoperit campania de fraudă publicitară și au raportat că operațiunea este în desfășurare încă din 2022.
Investigația Guardio Labs a început prin detectarea unor modele neobișnuite în metadatele e-mailurilor, care au dus la descoperirea unei ample operațiuni de preluare a subdomeniilor.
Un studiu de caz al unui e-mail fals autorizat de MSN evidențiază varietatea de tactici utilizate de atacatori pentru a-și face e-mailurile să apară legitime și pentru a evita blocările, inclusiv abuzarea verificărilor SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) și protocoalele DMARC (Domain-based Message Authentication, Reporting și Conformance).
Operațiunea se folosește în general de domenii preluate pentru trimiterea e-mailurilor nesolicitate și a e-mailurilor de pescuit, găzduirea paginilor de pescuit sau găzduirea conținutului publicitar înșelător.
Guardio Labs atribuie campania unui actor de amenințare pe care îl numesc „ResurrecAds”, care scanează sistematic webul în căutare de domenii ce pot fi preluate, securizând noi gazde și adrese IP și făcând achiziții direcționate de domenii.
Actorul de amenințare reîmprospătează constant o vastă rețea de domenii preluate și achiziționate, servere SMTP și adrese IP pentru a menține scala și complexitatea operațiunii.
Guardio Labs spune că SubdoMailing folosește aproape 22.000 de adrese IP unice, o mie dintre acestea părând a fi proxy-uri rezidențiale.
În prezent, campania operează prin servere SMTP distribuite la nivel global configurate pentru a disemina e-mailuri frauduloase printr-o rețea masivă de 8.000 de domenii și 13.000 de subdomenii.
Numărul e-mailurilor care ajung la destinații depășește 5.000.000 zilnic. În timp ce profitul atacatorilor din aceasta este imposibil de apreciat, scala operațiunii și volumul e-mailurilor frauduloase sunt incontestabil masive.
Guardio Labs a creat un site de verificare SubdoMailing care permite proprietarilor de domenii să detecteze dacă brandul lor este abuzat și să ia măsuri pentru a opri sau preveni acest lucru.
Leave a Reply