Специалисты Palo Alto Networks и представители хостера и доменного регистратора GoDaddy рассказали о совместной операции, в ходе которой в оффлайн ушли более 15 000 вредоносных поддоменов.
Как правило, жертвы этой вредоносной кампании получали письма (сообщения в мессенджерах или социальных сетях), в которых содержались ссылки, через несколько редиректов приводящие на одну из страниц мошенников. Такие страницы размещались на поддоменах самых обычных легитимных ресурсов, о чем их владельцы даже не подозревали.
«Общим знаменателем» в данном случае был тот факт, что все поддомены злоумышленников были так или иначе связаны с продажей различных фейковых товаров. Эти товары якобы рекомендовали различные знаменитости: мошенники эксплуатировали имена Стивена Хокинга, Гвен Стефани, Дженнифер Лопес, прикрывались релити-шоу Shark Tank и так далее.
В основном таким способом мошенники распространяли БАДы для улучшения работы мозга, таблетки для похудения, CBD-масла и так далее.
Первыми подозрительную активность обнаружили не сотрудники GoDaddy, как можно было бы предположить, а инженеры Palo Alto Networks, причем первые признаки вредоносной кампании были замечены еще два года тому назад. С тех пор исследователи занимались расследованием происходящего, изучали спамерские письма и составляли список URL поддоменов, на которых продавали фальшивые продукты. Лишь в начале текущего года специалисты привлекли к процессу представителей GoDaddy, так как большинство пострадавших доменов хостились именно здесь.
Собственное расследование GoDaddy выявило, что злоумышленники годами взламывали учтенные записи владельцев сайтов с помощью фишинга и атак типа credential stuffing. Этим термином называют атаки, в ходе которых учетные данные пользователей похищаются с одних сайтов, а затем используются против других. То есть злоумышленники имеют уже готовую базу учетных данных (приобретенную в даркнете, собранную самостоятельно и так далее) и пытаются использовать эти данные, чтобы авторизоваться на каких-либо сайтах и сервисах под видом своих жертв.
Получив доступ к аккаунту GoDaddy, мошенники создавали на легитимном сайте поддомен, где открывали промо-страницу для очередного «продукта». По данным хостера, вредоносная кампания затронула «несколько сотен» аккаунтов, и за последние месяцы были ликвидированы более 15 000 поддоменов. Теперь всех пострадавших владельцев сайтов уже уведомили о компрометации, а также сбросили пароли от их учетных записей.