O campanie masiva de fraudare a reclamelor numita ‘SubdoMailing’ foloseste peste 8.000 de domenii internet legitime si 13.000 de subdomenii pentru a trimite pana la cinci milioane de emailuri pe zi, generand venituri prin escrocherii si publicitate malitioasa.
Campania este numita ‘SubdoMailing’, deoarece actorii amenintarii preiau subdomenii si domenii abandonate apartinand unor companii cunoscute pentru a trimite emailuri lor malitioase.
Printre brandurile remarcabile care au devenit victime ale acestei campanii de preluare a domeniilor se numara MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel si eBay.
Aceste branduri renumite imprumuta involuntar legitimitatea emailurilor frauduloase si ii ajuta sa treaca de filtrul de securitate.
Apasarea butoanelor incorporate in emailuri ii duce pe utilizatori printr-o serie de redirectionari, generand venituri pentru actorii amenintarii prin vizualizari frauduloase de reclame. In cele din urma, utilizatorul ajunge la oferte false, scanari de securitate, sondaje sau escrocherii de afiliere.
Cercetatorii de la Guardio Labs, Nati Tal si Oleg Zaytsev, au descoperit campania de frauda cu reclame si au raportat ca operatiunea este in desfasurare din 2022.
Investigatia Guardio Labs a inceput cu detectarea unor pattern-uri neobisnuite in metadatele emailurilor, care a condus la descoperirea unei operatiuni vaste de preluare a subdomeniilor.
Un studiu de caz al unui email fals autorizat de MSN evidentiaza varietatea tacticii folosite de atacatori pentru a face ca emailurile lor sa para legitime si sa evite blocarile, inclusiv abuzul verificarii SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) si protocoalele DMARC (Domain-based Message Authentication, Reporting, and Conformance).
Aceste politici de email sunt folosite pentru a demonstra gateway-urilor de emailuri securizate ca expeditorul unui email este legitim si nu ar trebui tratat ca spam.
Campania SubdoMailing vizeaza domenii si subdomenii ale unor organizatii de renume, incercand sa le preia in principal prin preluarea CNAME si exploatarea inregistrarilor SPF.
In atacurile CNAME, actorii amenintarii scaneaza subdomenii ale brandurilor renumite cu inregistrari CNAME care indica catre domenii externe care nu mai sunt inregistrate. Apoi, acestia isi inregistreaza singuri aceste domenii prin serviciul NameCheap.
Metoda a doua implica analizarea inregistrarilor SPF ale domeniilor tintite care utilizeaza optiunea ‘include:’ care indica catre domenii externe care nu mai sunt inregistrate.
Optiunea include SPF este folosita pentru a importa expeditorii de emailuri permisi din domeniul extern, care acum este sub controlul actorilor amenintarii.
Atacatorii inregistreaza aceste domenii si apoi le modifica inregistrarile SPF pentru a autoriza propriile lor servere de emailuri malitioase. Acest lucru face ca emailurile actorilor amenintarii sa para ca vin legitim de la un domeniu de renume, cum ar fi MSN.
Operatiunea foloseste in general domeniile preluate pentru a trimite emailuri spam si de phishing, pentru a gazdui pagini de phishing sau pentru a gazdui continut de publicitate inselator.
Guardio Labs atribuie campania unui actor amenintari pe care il numesc ‘ResurrecAds’, care scanseaza sistematic web-ul in cautarea de domenii care pot fi preluate, securizeaza noi gazde si adrese IP si face achizitii de domenii tintite.
Actorul amenintarii reimprospateaza constant o vasta retea de domenii preluate si achizitionate, servere SMTP si adrese IP pentru a mentine scala si complexitatea operatiunii.
Guardio Labs spune ca SubdoMailing utilizeaza aproape 22.000 de IP-uri unice, o mie dintre acestea parand a fi proxy-uri rezidentiale.
In prezent, campania functioneaza printr-o retea globala de servere SMTP configurate pentru a disemina emailuri frauduloase printr-o retea masiva de 8.000 de domenii si 13.000 de subdomenii.
Numarul emailurilor care ajung la tinte depaseste 5.000.000 zilnic. In timp ce profitul atacatorului din aceasta este imposibil de apreciat, scala operatiunii si volumul de emailuri frauduloase sunt indiscutabil masive.
Guardio Labs a creat un site de verificare SubdoMailing care poate permite proprietarilor de domenii sa detecteze daca marca lor este abuzata si sa ia masuri pentru a opri sau preveni acest lucru.
Leave a Reply