Эксперты Guardio Labs обнаружили масштабную мошенническую кампанию SubdoMailing. Хакеры использовали более 8000 заброшенных доменов и 13 000 поддоменов для массовой рассылки почтового спама (до 5 000 000 писем в день), получая прибыль за счет мошенничества и вредоносной рекламы.
Расследование Guardio Labs началось с обнаружения необычных закономерностей в почтовых метаданных, и как выяснилось, эта кампания активна с 2022 года. Операторы SubdoMailing захватывают заброшенные домены, принадлежащие различным известным компаниям, а затем используют их для рассылки вредоносных писем.
Поскольку такие домены принадлежат надежным и известным компаниям, с их помощью можно обходить спам-фильтры, а порой еще и использовать преимущества настроенных политик SPF и DKIM, которые сообщают защищенным почтовым шлюзам, что письма не являются спамом. Также захваченные домены используются для размещения фишинговых страниц и мошеннического рекламного контента.
Среди пострадавших от активности SubdoMailing брендов числятся: MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel и eBay.
При нажатии на встроенные в тело вредоносных писем кнопки пользователи проходят через серию перенаправлений, что приносит злоумышленникам доход за счет мошеннических рекламных показов. А в конечном итоге жертва попадает на сайт какой-либо фальшивой раздачи призов, фейковый сканер безопасности, опрос или партнерский скам.
Изучение одного из таких писем, якобы полученного от MSN, продемонстрировало разнообразие тактик, используемых злоумышленниками для придания своим посланиям видимой легитимности и обхода защиты, включая злоупотребление проверками SPF (Sender Policy Framework), протоколами DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting, and Conformance).
В Guardio Labs рассказывают, что операторы SubdoMailing в основном нацелены на домены и поддомены авторитетных компаний, которые атакуют с помощью перехвата CNAME и эксплуатации SPF-записей.
Так, при атаках на CNAME злоумышленники ищут поддомены известных брендов с записями CNAME, указывающими на внешние домены, которые более не зарегистрированы. Затем хакеры сами регистрируют эти домены через NameCheap.
Второй метод заключается в изучении SPF-записей целевых доменов, в которых используется опция «include:», указывающая на внешние домены, которые более не зарегистрированы. В итоге опция SPF include используется хакерами для импорта разрешенных отправителей электронной почты из внешнего домена, который теперь находится под контролем атакующих.
Злоумышленники регистрируют найденные домены на себя, а затем изменяют их SPF-записи, чтобы авторизовать свои вредоносные почтовые серверы. Таким образом, создается впечатление, что мошеннические письма пришли с надежного домена (например, MSN).
Эксперты Guardio Labs связывают эту кампанию с группировкой ResurrecAds, которая регулярно сканирует интернет в поисках заброшенных и забытых доменов для захвата, а также приобретает новые хосты, IP-адреса и так далее. Отмечается, что злоумышленники постоянно обновляют обширную сеть взломанных и купленных доменов (регистрируется до 71 домена в день), SMTP-серверов и IP-адресов, чтобы поддерживать масштабы своей операции.
По данным исследователей, в настоящее время SubdoMailing использует около 22 000 уникальных IP-адресов, порядка 1000 из которых, судя по всему, являются резидентными прокси. Основу этой кампании сейчас составляют SMTP-серверы, разбросанные по всему миру и настроенные на распространение вредоносных писем через сеть, суммарно насчитывающую около 8 000 доменов и 13 000 поддоменов.
Так как масштабы этой операции огромны, Guardio Labs создала специальный сайт, с помощью которого владельцы доменов могут определить, не подверглись ли они атаке SubdoMailing, и не используется ли их бренд в качестве ширмы для распространения опасного спама.