8000 доменов известных компаний использовались для массовой рассылки спама - «Новости» » Интернет технологии
sitename
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Китайцы построили самую мощную в мире центрифугу, чтобы «сжимать» время и пространство - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Asus представила геймерские смартфоны ROG Phone 9 и 9 Pro — Snapdragon 8 Elite, разъём для наушников и цена от $1000 - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Microsoft представила Windows 365 Link — компьютер, на который нельзя установить ни одной программы - «Новости сети»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Вредоносные коммиты с бэкдорами обнаружили на GitHub - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Критический баг в плагине для WordPress угрожает 4 млн сайтов - «Новости»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Данные всех россиян уже утекли в даркнет, заявил глава «Ростелекома» - «Новости сети»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Самым популярным паролем в 2024 году остается «123456» - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Ботнет эксплуатирует 0-day уязвимость в устройствах GeoVision - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
Компанию T-Mobile взломали во время недавней атаки на телекомы - «Новости»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
«Что-то мне как-то не по себе»: игроков насторожил 4K-геймплей S.T.A.L.K.E.R. 2: Heart of Chornobyl от Nvidia - «Новости сети»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » 8000 доменов известных компаний использовались для массовой рассылки спама - «Новости»

Эксперты Guardio Labs обнаружили масштабную мошенническую кампанию SubdoMailing. Хакеры использовали более 8000 заброшенных доменов и 13 000 поддоменов для массовой рассылки почтового спама (до 5 000 000 писем в день), получая прибыль за счет мошенничества и вредоносной рекламы.


Расследование Guardio Labs началось с обнаружения необычных закономерностей в почтовых метаданных, и как выяснилось, эта кампания активна с 2022 года. Операторы SubdoMailing захватывают заброшенные домены, принадлежащие различным известным компаниям, а затем используют их для рассылки вредоносных писем.


Поскольку такие домены принадлежат надежным и известным компаниям, с их помощью можно обходить спам-фильтры, а порой еще и использовать преимущества настроенных политик SPF и DKIM, которые сообщают защищенным почтовым шлюзам, что письма не являются спамом. Также захваченные домены используются для размещения фишинговых страниц и мошеннического рекламного контента.


Среди пострадавших от активности SubdoMailing брендов числятся: MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel и eBay.



Примеры вредоносных писем

При нажатии на встроенные в тело вредоносных писем кнопки пользователи проходят через серию перенаправлений, что приносит злоумышленникам доход за счет мошеннических рекламных показов. А в конечном итоге жертва попадает на сайт какой-либо фальшивой раздачи призов, фейковый сканер безопасности, опрос или партнерский скам.


Изучение одного из таких писем, якобы полученного от MSN, продемонстрировало разнообразие тактик, используемых злоумышленниками для придания своим посланиям видимой легитимности и обхода защиты, включая злоупотребление проверками SPF (Sender Policy Framework), протоколами DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting, and Conformance).


В Guardio Labs  рассказывают, что операторы SubdoMailing в основном нацелены на домены и поддомены авторитетных компаний, которые атакуют с помощью перехвата CNAME и эксплуатации SPF-записей.


Так, при атаках на CNAME злоумышленники ищут поддомены известных брендов с записями CNAME, указывающими на внешние домены, которые более не зарегистрированы. Затем хакеры сами регистрируют эти домены через NameCheap.





Второй метод заключается в изучении SPF-записей целевых доменов, в которых используется опция «include:», указывающая на внешние домены, которые более не зарегистрированы. В итоге опция SPF include используется хакерами для импорта разрешенных отправителей электронной почты из внешнего домена, который теперь находится под контролем атакующих.


Злоумышленники регистрируют найденные домены на себя, а затем изменяют их SPF-записи, чтобы авторизовать свои вредоносные почтовые серверы. Таким образом, создается впечатление, что мошеннические письма пришли с надежного домена (например, MSN).





Эксперты Guardio Labs связывают эту кампанию с группировкой ResurrecAds, которая регулярно сканирует интернет в поисках заброшенных и забытых доменов для захвата, а также приобретает новые хосты, IP-адреса и так далее. Отмечается, что злоумышленники постоянно обновляют обширную сеть взломанных и купленных доменов (регистрируется до 71 домена в день), SMTP-серверов и IP-адресов, чтобы поддерживать масштабы своей операции.





По данным исследователей, в настоящее время SubdoMailing использует около 22 000 уникальных IP-адресов, порядка 1000 из которых, судя по всему, являются резидентными прокси. Основу этой кампании сейчас составляют SMTP-серверы, разбросанные по всему миру и настроенные на распространение вредоносных писем через сеть, суммарно насчитывающую около 8 000 доменов и 13 000 поддоменов.


Так как масштабы этой операции огромны, Guardio Labs создала специальный сайт, с помощью которого владельцы доменов могут определить, не подверглись ли они атаке SubdoMailing, и не используется ли их бренд в качестве ширмы для распространения опасного спама.


Эксперты Guardio Labs обнаружили масштабную мошенническую кампанию SubdoMailing. Хакеры использовали более 8000 заброшенных доменов и 13 000 поддоменов для массовой рассылки почтового спама (до 5 000 000 писем в день), получая прибыль за счет мошенничества и вредоносной рекламы. Расследование Guardio Labs началось с обнаружения необычных закономерностей в почтовых метаданных, и как выяснилось, эта кампания активна с 2022 года. Операторы SubdoMailing захватывают заброшенные домены, принадлежащие различным известным компаниям, а затем используют их для рассылки вредоносных писем. Поскольку такие домены принадлежат надежным и известным компаниям, с их помощью можно обходить спам-фильтры, а порой еще и использовать преимущества настроенных политик SPF и DKIM, которые сообщают защищенным почтовым шлюзам, что письма не являются спамом. Также захваченные домены используются для размещения фишинговых страниц и мошеннического рекламного контента. Среди пострадавших от активности SubdoMailing брендов числятся: MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel и eBay. Примеры вредоносных писем При нажатии на встроенные в тело вредоносных писем кнопки пользователи проходят через серию перенаправлений, что приносит злоумышленникам доход за счет мошеннических рекламных показов. А в конечном итоге жертва попадает на сайт какой-либо фальшивой раздачи призов, фейковый сканер безопасности, опрос или партнерский скам. Изучение одного из таких писем, якобы полученного от MSN, продемонстрировало разнообразие тактик, используемых злоумышленниками для придания своим посланиям видимой легитимности и обхода защиты, включая злоупотребление проверками SPF (Sender Policy Framework), протоколами DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting, and Conformance). В Guardio Labs рассказывают, что операторы SubdoMailing в основном нацелены на домены и поддомены авторитетных компаний, которые атакуют с помощью перехвата CNAME и эксплуатации SPF-записей. Так, при атаках на CNAME злоумышленники ищут поддомены известных брендов с записями CNAME, указывающими на внешние домены, которые более не зарегистрированы. Затем хакеры сами регистрируют эти домены через NameCheap. Второй метод заключается в изучении SPF-записей целевых доменов, в которых используется опция «include:», указывающая на внешние домены, которые более не зарегистрированы. В итоге опция SPF include используется хакерами для импорта разрешенных отправителей электронной почты из внешнего домена, который теперь находится под контролем атакующих. Злоумышленники регистрируют найденные домены на себя, а затем изменяют их SPF-записи, чтобы авторизовать свои вредоносные почтовые серверы. Таким образом, создается впечатление, что мошеннические письма пришли с надежного домена (например, MSN). Эксперты Guardio Labs связывают эту кампанию с группировкой ResurrecAds, которая регулярно сканирует интернет в поисках заброшенных и забытых доменов для захвата, а также приобретает новые хосты, IP-адреса и так далее. Отмечается, что злоумышленники постоянно обновляют обширную сеть взломанных и купленных доменов (регистрируется до 71 домена в день), SMTP-серверов и IP-адресов, чтобы поддерживать масштабы своей операции. По данным исследователей, в настоящее время SubdoMailing использует около 22 000 уникальных IP-адресов, порядка 1000 из которых, судя по всему, являются резидентными прокси. Основу этой кампании сейчас составляют SMTP-серверы, разбросанные по всему миру и настроенные на распространение вредоносных писем через сеть, суммарно насчитывающую около 8 000 доменов и 13 000 поддоменов. Так как масштабы этой операции огромны, Guardio Labs создала специальный сайт, с помощью которого владельцы доменов могут определить, не подверглись ли они атаке SubdoMailing, и не используется ли их бренд в качестве ширмы для распространения опасного спама.
CSS
запостил(а)
Douglas
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: