假作真来真亦假:8,000 多个品牌域名被劫持进行大规模垃圾邮件操作

阅读量105327

发布时间 : 2024-02-28 12:16:02

 

属于合法品牌和机构的 8,000 多个域名和 13,000 个子域名已被劫持,作为垃圾邮件扩散和点击货币化的复杂分发架构的一部分。Guardio Labs 正在跟踪协调的恶意活动,该活动至少自 2022 年 9 月以来一直在持续,名为 SubdoMailing。这些电子邮件的范围从“假冒包裹递送警报到针对帐户凭据的彻底网络钓鱼”。这家以色列安全公司将此次活动归因于一个名为ResurrecAds的威胁行为者,众所周知,该行为者会复活大品牌或附属于大品牌的死域名,最终目标是操纵数字广告生态系统以获取非法收益。安全研究人员 Nati Tal 和 Oleg Zaytsev在与 The Theatre 分享的一份报告中表示:“‘ResurrecAds’管理着广泛的基础设施,其中包括各种主机、SMTP 服务器、IP 地址,甚至私人住宅 ISP 连接,以及许多其他拥有的域名。”黑客新闻。特别是,该活动“利用与这些域相关的信任,每天传播数以百万计的垃圾邮件和恶意网络钓鱼电子邮件,狡猾地利用其可信度和被盗资源来绕过安全措施。”

这些子域名属于或隶属于 ACLU、eBay、Lacoste、Marvel、McAfee、MSN、Pearson、PwC、Swatch、Symantec、The Economist、UNICEF 和 VMware 等大品牌和组织。

该活动以其绕过标准安全块的能力而闻名,将整个正文视为图像以逃避基于文本的垃圾邮件过滤器,单击该图像即可启动一系列通过不同域的重定向。

研究人员解释说:“这些重定向会检查您的设备类型和地理位置,从而定制内容以实现利润最大化。”

“这可能是任何东西,从烦人的广告或附属链接到更具欺骗性的策略,如测验诈骗、网络钓鱼网站,甚至是旨在更直接地骗取你钱财的恶意软件下载。”

这些电子邮件的另一个重要方面是它们还能够绕过发件人策略框架 ( SPF ),这是一种电子邮件身份验证方法,旨在通过确保邮件服务器被授权为给定域发送电子邮件来防止欺骗。

这不仅仅是 SPF,因为电子邮件还通过了域名密钥识别邮件 ( DKIM ) 和基于域的邮件身份验证、报告和一致性 ( DMARC ) 检查,有助于防止邮件被标记为垃圾邮件。

在 Guardio 强调的欺骗性云存储警告电子邮件的一个示例中,该邮件源自基辅的 SMTP 服务器,但被标记为从 Return_UlKvw@marthastewart.msn.com 发送。

对 marthastewart.msn.com 的 DNS 记录进行仔细检查后发现,该子域通过CNAME 记录链接到另一个域 (msnmarthastewartsweeps[.]com) ,这是一种别名技术,之前已被广告技术公司武器化,以获取围绕第三方 cookie 阻止。

研究人员表示:“这意味着该子域继承了 msnmarthastewartsweeps[.]com 的全部行为,包括其 SPF 策略。” “在这种情况下,演员可以向他们想要的任何人发送电子邮件,就像 msn[.]com 及其批准的邮件发送者发送这些电子邮件一样!”

这里值得指出的是,这两个域名都是合法的,并且在 2001 年的某个时候曾短暂活跃过,之后它们就处于废弃状态 21 年。直到 2022 年 9 月,msnmarthastewartsweeps[.]com 才在 Namecheap 私下注册。

换句话说,复杂的劫持计划需要威胁行为者系统地扫描长期被遗忘的子域以及废弃域的悬空 CNAME 记录,然后注册它们以控制它们。

当此类知名子域被用来托管旨在获取用户凭据的虚假网络钓鱼登陆页面时,CNAME 接管也可能会产生严重后果。也就是说,没有证据表明任何被劫持的子域已用于此目的。

Guardio 表示,它还发现已知域的DNS SPF 记录保存与已失效的电子邮件或营销相关服务相关的废弃域的情况,从而允许攻击者获取这些域的所有权,将自己的 IP 地址注入记录中,最终代表主域名发送电子邮件。

为了应对威胁并拆除基础设施,Guardio 提供了SubdoMailing Checker,该网站使域管理员和网站所有者能够寻找妥协的迹象。

研究人员表示:“这一操作经过精心设计,旨在滥用这些资产来分发各种恶意‘广告’,旨在为这些‘广告网络’客户产生尽可能多的点击量。”

“凭借大量受损的信誉良好的域名、服务器和 IP 地址,该广告网络能够巧妙地浏览恶意电子邮件传播过程,随意在其资产之间无缝切换和跳跃。”

 

本文转载自:

如若转载,请注明出处:

安全客 - 有思想的安全新媒体

分享到:微信
+17赞
收藏
RANDEE
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66