Μια τεράστια καμπάνια διαφημιστικής απάτης, με το όνομα “SubdoMailing“, χρησιμοποιεί πάνω από 8.000 νόμιμα internet domains και 13.000 subdomains για την αποστολή εκατομμυρίων email ημερησίως.
Οι επιτιθέμενοι κλέβουν εγκαταλελειμμένα subdomains και domains που ανήκουν σε γνωστές εταιρείες και στέλνουν τα κακόβουλα email. Στόχος τους είναι η απόκτηση εσόδων μέσω απατών και malvertising.
Οι hackers χρησιμοποιούν domains αξιόπιστων εταιρειών ώστε τα emails να παρακάμπτουν τα spam filters και να περάσουν από άλλους ελέγχους ασφαλείας ως νόμιμα και όχι ως ανεπιθύμητα.
Για παράδειγμα, οι επιτιθέμενοι χρησιμοποιήσαν domains των παρακάτω εταιρειών για την κακόβουλη καμπάνια SubdoMailing: MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel, και eBay.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/521908/subdomailing-nea-spam-kampania-xrisimopoiei-paraviasmena-domains-etaireion/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/https://www.secnews.gr/wp-content/uploads/2024/02/SubdoMailing-spam-καμπανια-παραβιασμενα-domains-min.jpg&description=Μια τεράστια καμπάνια διαφημιστικής απάτης, με το όνομα "SubdoMailing", χρησιμοποιεί 8.000 νόμιμα internet domains και 13.000 subdomains){kind=link}
Δείτε επίσης: Bitwarden: Νέα auto-fill επιλογή μειώνει τον κίνδυνο credential phishing
Αυτές οι εταιρείες δεν έχουν καμία σχέση με τα κακόβουλα emails αλλά βοηθούν τους hackers, καθώς τα ονόματα αυτά προσδίδουν νομιμότητα στα δόλια μηνύματα.
Τα κακόβουλα emails στην καμπάνια SubdoMailing περιέχουν ενσωματωμένα κουμπιά που οδηγούν τους χρήστες σε μια σειρά ανακατευθύνσεων, δημιουργώντας έσοδα για τους παράγοντες της απειλής μέσω προβολών διαφημίσεων. Τελικά, ο χρήστης καταλήγει σε ψεύτικα δώρα, σαρώσεις ασφαλείας, έρευνες ή απάτες συνεργατών.
Η απάτη ανακαλύφθηκε από ερευνητές της Guardio Labs, οι οποίοι ανέφεραν ότι η επιχείρηση βρίσκεται σε εξέλιξη από το 2022.
Παραβίαση νόμιμων domains για κακόβουλα emails
Η έρευνα της Guardio Labs ξεκίνησε με τον εντοπισμό ασυνήθιστων μοτίβων σε email metadata, τα οποία οδήγησαν στην ανακάλυψη μιας τεράστιας subdomain hijacking επιχείρησης.
Σύμφωνα με τους ερευνητές, οι επιτιθέμενοι χρησιμοποιούν διάφορες μεθόδους για να κάνουν τα email τους να φαίνονται νόμιμα, συμπεριλαμβανομένης της κατάχρησης ελέγχων SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) και DMARC (Domain-based Message Authentication, Reporting, and Conformance) πρωτοκόλλων.
Δείτε επίσης: Οργανισμοί λαμβάνουν spear phishing emails με θέματα σχετικά με την ΕΕ
Αυτές οι πολιτικές χρησιμοποιούνται για να αποδείξουν ότι ο αποστολέας ενός email είναι νόμιμος.
Όπως προείπαμε, η καμπάνια SubdoMailing στοχεύει domains και subdomains αξιόπιστων οργανισμών, προσπαθώντας να τους παραβιάσει κυρίως μέσω CNAME hijacking και SPF record exploitation.
Στις επιθέσεις CNAME, οι επιτιθέμενοι ψάχνουν για subdomains αξιόπιστων εταιρειών με CNAME records που παραπέμπουν σε εξωτερικά domains που δεν είναι πλέον καταχωρημένα. Στη συνέχεια καταχωρούν οι ίδιοι αυτά τα domains μέσω της υπηρεσίας NameCheap.
Η δεύτερη μέθοδος περιλαμβάνει την εξέταση SPF records των domains που χρησιμοποιούν την επιλογή διαμόρφωσης “include:” που δείχνει σε εξωτερικά domains που δεν είναι πλέον καταχωρημένα. Η επιλογή include χρησιμοποιείται για την εισαγωγή επιτρεπόμενων αποστολέων email από το εξωτερικό domain, που βρίσκεται πλέον υπό τον έλεγχο του παράγοντα απειλής.
Οι εισβολείς καταχωρούν τα domains και στη συνέχεια αλλάζουν τα SPF records για να εξουσιοδοτήσουν τους δικούς τους κακόβουλους διακομιστές email. Έτσι, τα κακόβουλα emails τους φαίνονται σαν να προέρχονται από αξιόπιστο domain.
SubdoMailing: Μια τεράστια καμπάνια διαφημιστικής απάτης
Οι ερευνητές της Guardio Labs πιστεύουν ότι πίσω από την καμπάνια βρίσκεται μια ομάδα με το όνομα “ResurrecAds”, η οποία ψάχνει συχνά για domains που μπορούν να παραβιαστούν.
Οι επιτιθέμενοι ανανεώνουν συνεχώς τα domains, διακομιστές SMTP και διευθύνσεις IP. Η Guardio Labs λέει ότι το SubdoMailing χρησιμοποιεί σχεδόν 22.000 μοναδικές IP.
Δείτε επίσης: SNS Sender Malware διανέμει Phishing SMS μέσω της Amazon
Επί του παρόντος, η καμπάνια λειτουργεί μέσω διακομιστών SMTP που έχουν ρυθμιστεί να διαδίδουν κακόβουλα emails μέσω ενός τεράστιου δικτύου 8.000 domains και 13.000 subdomains.
Πάνω από 5.000.000 emails στέλνονται καθημερινά.
Η Guardio Labs δημιούργησε έναν ιστότοπο ελέγχου που μπορεί να επιτρέψει στους κατόχους domains να εντοπίσουν εάν το brand τους χρησιμοποιείται από τους hackers στα πλαίσια της καμπάνιας SubdoMailing.
Phishing / spam emails: Πώς να προστατευτείτε;
Μία από τις πιο αποτελεσματικές μεθόδους προστασίας από τα phishing emails είναι η χρήση ενός αξιόπιστου λογισμικού ασφαλείας. Αυτά τα προγράμματα εργάζονται συνεχώς για να εντοπίσουν και να απομακρύνουν τα ύποπτα emails πριν ακόμη φτάσουν στο inbox σας.
Επίσης, είναι σημαντικό να ενημερώνετε τακτικά το λογισμικό και το λειτουργικό σύστημα του υπολογιστή σας. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν νέες προστασίες ενάντια σε πρόσφατες τεχνικές phishing.
Η εκπαίδευση είναι επίσης ένας ισχυρός σύμμαχος κατά του phishing. Μάθετε να αναγνωρίζετε τα σημάδια ενός επικίνδυνου email, όπως ορθογραφικά λάθη, ασυνήθιστες διευθύνσεις email και αιτήματα για προσωπικές πληροφορίες.
Τέλος, ποτέ μην ανοίγετε συνημμένα και μην κάνετε κλικ σε συνδέσμους σε emails που δεν περιμένετε. Αν ένα email φαίνεται ύποπτο, είναι καλύτερο να επικοινωνήσετε άμεσα με τον αποστολέα για να επιβεβαιώσετε την αυθεντικότητά του.
Πηγή: www.bleepingcomputer.com