Mais de 8.000 domínios e 13.000 subdomínios pertencentes a marcas e instituições legítimas foram sequestrados como parte de uma sofisticada arquitetura de distribuição para proliferação de spam e monetização de cliques.
A Guardio Labs está rastreando a atividade maliciosa coordenada, que está em andamento desde pelo menos setembro de 2022, sob o nome SubdoMailing. Os e-mails variam de “alertas de entrega de pacotes falsificados a phishing total para credenciais de conta”.
A empresa de segurança israelense atribuiu a campanha a um ator de ameaça chamado ResurrecAds, que é conhecido por ressuscitar domínios mortos ou afiliados a grandes marcas com o objetivo final de manipular o ecossistema de publicidade digital para obter ganhos nefastos.
O ResurrecAds gerencia uma infraestrutura extensa que abrange uma ampla variedade de hosts, servidores SMTP, endereços IP e até conexões residenciais privadas de ISP, juntamente com muitos nomes de domínio próprios adicionais”, disseram os pesquisadores de segurança Nati Tal e Oleg Zaytsev em um relatório sobre hackers.
Em particular, a campanha “aproveita a confiança associada a estes domínios para fazer circular spam e e-mails de phishing maliciosos aos milhões todos os dias, usando astuciosamente a sua credibilidade e recursos roubados para escapar às medidas de segurança”. Esses subdomínios pertencem ou são afiliados a grandes marcas e organizações.
A campanha se destaca pela capacidade de contornar bloqueios de segurança padrão, com todo o corpo concebido como uma imagem para fugir dos filtros de spam baseados em texto, clicando que inicia uma série de redirecionamentos através de diferentes domínios.
“Esses redirecionamentos verificam o tipo de dispositivo e a localização geográfica, levando a conteúdo adaptado para maximizar o lucro. Isso pode ser qualquer coisa, desde um anúncio irritante ou link de afiliado até táticas mais enganosas, como golpes de quiz, sites de phishing ou até mesmo um download de malware com o objetivo de roubar seu dinheiro de forma mais direta”, explicaram os pesquisadores.
Outro aspecto crucial desses e-mails é que eles também são capazes de contornar o Sender Policy Framework (SPF), um método de autenticação de e-mail projetado para evitar falsificação, garantindo que um servidor de e-mail esteja autorizado a enviar e-mails para um determinado domínio.
Não é apenas SPF, já que os e-mails também passam pelas verificações de DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication, Reporting and Conformance (DMARC) que ajudam a evitar que as mensagens sejam marcadas como spam.
Em um exemplo de e-mail enganoso de aviso de armazenamento em nuvem destacado por Guardio, a mensagem originou-se de um servidor SMTP em Kiev, mas foi sinalizada como enviada de Return_UlKvw@marthastewart.msn.com.
Um exame mais detalhado do registro DNS de marthastewart.msn.com revelou que o subdomínio está vinculado a outro domínio (msnmarthastewartsweeps.com) por meio de um registro CNAME, uma técnica de alias que foi anteriormente transformada em arma por empresas de tecnologia de publicidade para obter em torno do bloqueio de cookies de terceiros.
“Isso significa que o subdomínio herda todo o comportamento de msnmarthastewartsweeps.com, incluindo sua política SPF”, disseram os pesquisadores. “Nesse caso, o ator pode enviar e-mails para quem quiser, como se o msn.com e seus remetentes aprovados tivessem enviado esses e-mails!”
Vale ressaltar aqui que ambos os domínios eram legítimos e brevemente ativos em algum momento de 2001, antes de serem deixados abandonados por 21 anos. Somente em setembro de 2022 é que msnmarthastewartsweeps.com foi registrado de forma privada na Namecheap.
Por outro lado, o esquema de sequestro implica que os agentes da ameaça procurem sistematicamente subdomínios há muito esquecidos com registros CNAME pendentes de domínios abandonados e depois registrem-nos para assumir o controle deles.
A aquisição de CNAME também pode ter consequências graves quando esses subdomínios de renome são apreendidos para hospedar páginas de destino de phishing falsas, projetadas para coletar credenciais de usuários. Dito isto, não há evidências de que algum dos subdomínios sequestrados tenha sido usado para essa finalidade.
A Guardio disse que também encontrou casos em que o registro DNS SPF de um domínio conhecido contém domínios abandonados associados a serviços extintos de e-mail ou marketing, permitindo assim que invasores se apoderem de tais domínios, injetem seus próprios endereços IP no registro e, por fim, enviar e-mails em nome do nome de domínio principal.
Num esforço para combater a ameaça e desmantelar a infraestrutura, a Guardio disponibilizou o SubdoMailing Checker, um site que permite aos administradores de domínio e proprietários de sites procurar sinais de comprometimento.
“Esta operação é meticulosamente projetada para usar indevidamente esses ativos para distribuir vários ‘anúncios’ malévolos, com o objetivo de gerar o máximo de cliques possível para esses clientes da ‘rede de anúncios. Armada com uma vasta coleção de domínios, servidores e endereços IP confiáveis comprometidos, esta rede de publicidade navega habilmente pelo processo de propagação de e-mail malicioso, alternando e saltando entre seus ativos à vontade”, disseram os pesquisadores.
Share this content:
using WordPress and
Comments are closed