8000 доменов известных компаний использовались для массовой рассылки спама - «Новости» » Интернет технологии
sitename
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
AMD раскрыла потенциал Radeon RX 9070 XT новыми драйверами — GeForce RTX 5070 Ti теперь медленнее - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Honor представила флагманский планшет MagicPad 3 с большим 13,3-дюймовым экраном и ценой от $420 - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
Миллионы долларов на ветер — DARPA отменило проект космического рейдера на тепловом ядерном двигателе - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
«Кто-то проник в наш дом и что-то украл» — Сэм Альтман назвал отвратительным то, как Meta✴ переманивает специалистов ИИ - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Нил Дракманн бросил сериал The Last of Us, чтобы «целиком сосредоточиться» на Intergalactic: The Heretic Prophet - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
Япония запретила продажу смартфонов Google Pixel 7 — Pixel 8 и Pixel 9 тоже под угрозой - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
В Пекине прошёл первый в мире футбольный турнир между гуманоидными роботами - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Toyota RAV4 по итогам прошлого года обогнала Tesla Model Y в статусе самого популярного в мире автомобиля - «Новости сети»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Злоумышленники могут обойти аутентификацию почти 700 моделей принтеров Brother - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Специалисты Cloudflare объяснили, что происходит с российским трафиком - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » 8000 доменов известных компаний использовались для массовой рассылки спама - «Новости»

Эксперты Guardio Labs обнаружили масштабную мошенническую кампанию SubdoMailing. Хакеры использовали более 8000 заброшенных доменов и 13 000 поддоменов для массовой рассылки почтового спама (до 5 000 000 писем в день), получая прибыль за счет мошенничества и вредоносной рекламы.


Расследование Guardio Labs началось с обнаружения необычных закономерностей в почтовых метаданных, и как выяснилось, эта кампания активна с 2022 года. Операторы SubdoMailing захватывают заброшенные домены, принадлежащие различным известным компаниям, а затем используют их для рассылки вредоносных писем.


Поскольку такие домены принадлежат надежным и известным компаниям, с их помощью можно обходить спам-фильтры, а порой еще и использовать преимущества настроенных политик SPF и DKIM, которые сообщают защищенным почтовым шлюзам, что письма не являются спамом. Также захваченные домены используются для размещения фишинговых страниц и мошеннического рекламного контента.


Среди пострадавших от активности SubdoMailing брендов числятся: MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel и eBay.



Примеры вредоносных писем

При нажатии на встроенные в тело вредоносных писем кнопки пользователи проходят через серию перенаправлений, что приносит злоумышленникам доход за счет мошеннических рекламных показов. А в конечном итоге жертва попадает на сайт какой-либо фальшивой раздачи призов, фейковый сканер безопасности, опрос или партнерский скам.


Изучение одного из таких писем, якобы полученного от MSN, продемонстрировало разнообразие тактик, используемых злоумышленниками для придания своим посланиям видимой легитимности и обхода защиты, включая злоупотребление проверками SPF (Sender Policy Framework), протоколами DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting, and Conformance).


В Guardio Labs  рассказывают, что операторы SubdoMailing в основном нацелены на домены и поддомены авторитетных компаний, которые атакуют с помощью перехвата CNAME и эксплуатации SPF-записей.


Так, при атаках на CNAME злоумышленники ищут поддомены известных брендов с записями CNAME, указывающими на внешние домены, которые более не зарегистрированы. Затем хакеры сами регистрируют эти домены через NameCheap.





Второй метод заключается в изучении SPF-записей целевых доменов, в которых используется опция «include:», указывающая на внешние домены, которые более не зарегистрированы. В итоге опция SPF include используется хакерами для импорта разрешенных отправителей электронной почты из внешнего домена, который теперь находится под контролем атакующих.


Злоумышленники регистрируют найденные домены на себя, а затем изменяют их SPF-записи, чтобы авторизовать свои вредоносные почтовые серверы. Таким образом, создается впечатление, что мошеннические письма пришли с надежного домена (например, MSN).





Эксперты Guardio Labs связывают эту кампанию с группировкой ResurrecAds, которая регулярно сканирует интернет в поисках заброшенных и забытых доменов для захвата, а также приобретает новые хосты, IP-адреса и так далее. Отмечается, что злоумышленники постоянно обновляют обширную сеть взломанных и купленных доменов (регистрируется до 71 домена в день), SMTP-серверов и IP-адресов, чтобы поддерживать масштабы своей операции.





По данным исследователей, в настоящее время SubdoMailing использует около 22 000 уникальных IP-адресов, порядка 1000 из которых, судя по всему, являются резидентными прокси. Основу этой кампании сейчас составляют SMTP-серверы, разбросанные по всему миру и настроенные на распространение вредоносных писем через сеть, суммарно насчитывающую около 8 000 доменов и 13 000 поддоменов.


Так как масштабы этой операции огромны, Guardio Labs создала специальный сайт, с помощью которого владельцы доменов могут определить, не подверглись ли они атаке SubdoMailing, и не используется ли их бренд в качестве ширмы для распространения опасного спама.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

Эксперты Guardio Labs обнаружили масштабную мошенническую кампанию SubdoMailing. Хакеры использовали более 8000 заброшенных доменов и 13 000 поддоменов для массовой рассылки почтового спама (до 5 000 000 писем в день), получая прибыль за счет мошенничества и вредоносной рекламы. Расследование Guardio Labs началось с обнаружения необычных закономерностей в почтовых метаданных, и как выяснилось, эта кампания активна с 2022 года. Операторы SubdoMailing захватывают заброшенные домены, принадлежащие различным известным компаниям, а затем используют их для рассылки вредоносных писем. Поскольку такие домены принадлежат надежным и известным компаниям, с их помощью можно обходить спам-фильтры, а порой еще и использовать преимущества настроенных политик SPF и DKIM, которые сообщают защищенным почтовым шлюзам, что письма не являются спамом. Также захваченные домены используются для размещения фишинговых страниц и мошеннического рекламного контента. Среди пострадавших от активности SubdoMailing брендов числятся: MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel и eBay. Примеры вредоносных писем При нажатии на встроенные в тело вредоносных писем кнопки пользователи проходят через серию перенаправлений, что приносит злоумышленникам доход за счет мошеннических рекламных показов. А в конечном итоге жертва попадает на сайт какой-либо фальшивой раздачи призов, фейковый сканер безопасности, опрос или партнерский скам. Изучение одного из таких писем, якобы полученного от MSN, продемонстрировало разнообразие тактик, используемых злоумышленниками для придания своим посланиям видимой легитимности и обхода защиты, включая злоупотребление проверками SPF (Sender Policy Framework), протоколами DKIM (DomainKeys Identified Mail) и DMARC (Domain-based Message Authentication, Reporting, and Conformance). В Guardio Labs рассказывают, что операторы SubdoMailing в основном нацелены на домены и поддомены авторитетных компаний, которые атакуют с помощью перехвата CNAME и эксплуатации SPF-записей. Так, при атаках на CNAME злоумышленники ищут поддомены известных брендов с записями CNAME, указывающими на внешние домены, которые более не зарегистрированы. Затем хакеры сами регистрируют эти домены через NameCheap. Второй метод заключается в изучении SPF-записей целевых доменов, в которых используется опция «include:», указывающая на внешние домены, которые более не зарегистрированы. В итоге опция SPF include используется хакерами для импорта разрешенных отправителей электронной почты из внешнего домена, который теперь находится под контролем атакующих. Злоумышленники регистрируют найденные домены на себя, а затем изменяют их SPF-записи, чтобы авторизовать свои вредоносные почтовые серверы. Таким образом, создается впечатление, что мошеннические письма пришли с надежного домена (например, MSN). Эксперты Guardio Labs связывают эту кампанию с группировкой ResurrecAds, которая регулярно сканирует интернет в поисках заброшенных и забытых доменов для захвата, а также приобретает новые хосты, IP-адреса и так далее. Отмечается, что злоумышленники постоянно обновляют обширную сеть взломанных и купленных доменов (регистрируется до 71 домена в день), SMTP-серверов и IP-адресов, чтобы поддерживать масштабы своей операции. По данным исследователей, в настоящее время SubdoMailing использует около 22 000 уникальных IP-адресов, порядка 1000 из которых, судя по всему, являются резидентными прокси. Основу этой кампании сейчас составляют SMTP-серверы, разбросанные по всему миру и настроенные на распространение вредоносных писем через сеть, суммарно насчитывающую около 8 000 доменов и 13 000 поддоменов. Так как масштабы этой операции огромны, Guardio Labs создала специальный сайт, с помощью которого владельцы доменов могут определить, не подверглись ли они атаке SubdoMailing, и не используется ли их бренд в качестве ширмы для распространения опасного спама.
CSS
запостил(а)
Douglas
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: