Эксперты Guardio Labs обнаружили масштабную мошенническую кампанию SubdoMailing. Хакеры использовали более 8000 заброшенных доменов и 13 000 поддоменов для массовой рассылки почтового спама (до 5 000 000 писем в день), получая прибыль за счет мошенничества и вредоносной рекламы, сообщает Хакер.ru.
Расследование Guardio Labs началось с обнаружения необычных закономерностей в почтовых метаданных, и как выяснилось, эта кампания активна с 2022 года. Операторы SubdoMailing захватывают заброшенные домены, принадлежащие различным известным компаниям, а затем используют их для рассылки вредоносных писем.
Поскольку такие домены принадлежат надежным и известным компаниям, с их помощью можно обходить спам-фильтры, а порой еще и использовать преимущества настроенных политик SPF и DKIM, которые сообщают защищенным почтовым шлюзам, что письма не являются спамом. Также захваченные домены используются для размещения фишинговых страниц и мошеннического рекламного контента.
Среди пострадавших от активности SubdoMailing брендов числятся: MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel и eBay.
При нажатии на встроенные в тело вредоносных писем кнопки пользователи проходят через серию перенаправлений, что приносит злоумышленникам доход за счет мошеннических рекламных показов. А в конечном итоге жертва попадает на сайт какой-либо фальшивой раздачи призов, фейковый сканер безопасности, опрос или партнерский скам.
Изучение одного из таких писем, якобы полученного от MSN, продемонстрировало разнообразие тактик, используемых злоумышленниками для придания своим посланиям видимой легитимности и обхода защиты, включая злоупотребление проверками SPF (Sender Policy Framework), протоколами DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting, and Conformance).
В Guardio Labs рассказывают, что операторы SubdoMailing в основном нацелены на домены и поддомены авторитетных компаний, которые атакуют с помощью перехвата CNAME и эксплуатации SPF-записей.
Эксперты Guardio Labs связывают эту кампанию с группировкой ResurrecAds, которая регулярно сканирует интернет в поисках заброшенных и забытых доменов для захвата, а также приобретает новые хосты, IP-адреса и так далее. Отмечается, что злоумышленники постоянно обновляют обширную сеть взломанных и купленных доменов (регистрируется до 71 домена в день), SMTP-серверов и IP-адресов, чтобы поддерживать масштабы своей операции.
По данным исследователей, в настоящее время SubdoMailing использует около 22 000 уникальных IP-адресов, порядка 1000 из которых, судя по всему, являются резидентными прокси. Основу этой кампании сейчас составляют SMTP-серверы, разбросанные по всему миру и настроенные на распространение вредоносных писем через сеть, суммарно насчитывающую около 8 000 доменов и 13 000 поддоменов.
Так как масштабы этой операции огромны, Guardio Labs создала специальный сайт, с помощью которого владельцы доменов могут определить, не подверглись ли они атаке SubdoMailing, и не используется ли их бренд в качестве ширмы для распространения опасного спама.
С заботой о вашей безопасности, команда Origin Security
