Mais de 8.000 domínios e 13.000 subdomínios pertencentes a marcas e instituições legítimas foram sequestrados como parte de uma arquitetura de distribuição sofisticada para a proliferação de spam e monetização por clique.
Guardio Labs está rastreando a atividade maliciosa coordenada, que está em andamento desde pelo menos setembro de 2022, sob o nome SubdoMailing.
Os e-mails variam desde "alertas de entrega de pacotes falsificados até phishing descarado de credenciais de conta".
A empresa israelense de segurança atribuiu a campanha a um ator de ameaças que ela chamou de ResurrecAds, que é conhecido por ressuscitar domínios mortos de ou afiliados a grandes marcas com o objetivo final de manipular o ecossistema de publicidade digital para ganhos nefastos.
" 'ResurrecAds' gerencia uma infraestrutura extensa abrangendo uma ampla variedade de hosts, servidores SMTP, endereços IP e até conexões residenciais de ISP, ao lado de muitos outros nomes de domínio de propriedade", disseram os pesquisadores de segurança Nati Tal e Oleg Zaytsev em um relatório compartilhado com o The Hacker News.
Em particular, a campanha "explora a confiança associada a esses domínios para circular spam e e-mails maliciosos de phishing aos milhões todos os dias, usando de forma astuta sua credibilidade e recursos roubados para driblar medidas de segurança."
Estes subdomínios pertencem a ou estão afiliados a grandes marcas e organizações como ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Swatch, Symantec, The Economist, UNICEF e VMware, entre outras.
A campanha é notável por sua capacidade de burlar bloqueios de segurança padrão, com todo o corpo concebido como uma imagem para evitar filtros de spam baseados em texto, clicando o que inicia uma série de redirecionamentos através de diferentes domínios.
"Esses redirecionamentos verificam seu tipo de dispositivo e localização geográfica, levando a conteúdo personalizado para maximizar o lucro", explicaram os pesquisadores.
"Isso poderia ser qualquer coisa, desde um anúncio irritante ou link de afiliado a táticas mais enganosas como golpes de questionários, sites de phishing, ou mesmo um download de malware destinado a te roubar dinheiro de forma mais direta."
Outro aspecto crucial desses e-mails é que eles também são capazes de contornar o Sender Policy Framework (SPF), um método de autenticação de e-mail que foi projetado para evitar a falsificação de remetentes, garantindo que um servidor de correio está autorizado a enviar e-mail para um determinado domínio.
Não é apenas o SPF, pois os e-mails também passam pelas verificações de DomainKeys Identified Mail (DKIM) e Domain-based Message Authentication, Reporting and Conformance (DMARC) que ajudam a evitar que mensagens sejam marcadas como spam.
Em um exemplo de um aviso enganoso de armazenamento na nuvem destacado pelo Guardio, a mensagem se originou de um servidor SMTP em Kyiv, mas foi sinalizada como sendo enviada de [email protected][.]com.
Uma análise mais detalhada do registro DNS para marthastewart.msn.com revelou que o subdomínio está ligado a outro domínio (msnmarthastewartsweeps[.]com) por meio de um registro CNAME, uma técnica de criação de alias que foi previamente explorada por empresas de tecnologia de publicidade para burlar a bloqueio de cookies de terceiros.
"Isso significa que o subdomínio herda todo o comportamento de msnmarthastewartsweeps[.]com, incluindo sua política SPF", disseram os pesquisadores.
"Nesse caso, o ator pode enviar e-mails para quem quiser, como se msn[.]com e seus remetentes aprovados tivessem enviado esses e-mails!"
Vale ressaltar aqui que ambos os domínios eram legítimos e brevemente ativos em algum momento de 2001, antes de serem deixados em um estado abandonado por 21 anos.
Não foi até setembro de 2022 que o msnmarthastewartsweeps[.]com foi registrado privadamente com o Namecheap.
Em outras palavras, o esquema de sequestro sofisticado implica que os atores de ameaça fazem um rastreamento sistemático de subdomínios esquecidos há muito tempo, com registros CNAME pendurados de domínios abandonados, e então os registram para assumir o controle deles.
A tomada de controle do CNAME também pode ter consequências sérias quando tais subdomínios de renome são apreendidos para hospedar páginas de destino de phishing falsas projetadas para colher as credenciais dos usuários.
Dito isto, não há evidências de que algum dos subdomínios sequestrados tenha sido usado para esse fim.
Guardio disse que também encontrou casos em que o registro SPF do DNS de um domínio conhecido mantém domínios abandonados associados a serviços de e-mail ou marketing desativados, permitindo assim aos invasores assumir a propriedade de tais domínios, injetar seus próprios IPs no registro e, finalmente, enviar e-mails em nome do nome de domínio principal.
Em um esforço para combater a ameaça e desmantelar a infraestrutura, Guardio disponibilizou um SubdoMailing Checker, um site que permite a administradores de domínio e proprietários de sites procurar por sinais de comprometimento.
"Esta operação é meticulosamente projetada para abusar desses ativos para a distribuição de vários 'Anúncios' malevolentes, com o objetivo de gerar o máximo de cliques possíveis para esses clientes da 'rede de anúncios'", disseram os pesquisadores.
"Armado com uma vasta coleção de domínios, servidores e endereços IP comprometidos de renome, esta rede de anúncios navega habilmente pelo processo de propagação de e-mails maliciosos, alternando e pulando entre seus ativos à vontade."
Publicidade
Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers.
Saiba mais...