Agencija za kibernetičku sigurnost opisala je koordiniranu zlonamjernu operaciju koja je preuzela kontrolu nad više od 8.000 domena i 13.000 poddomena koje pripadaju legitimnim tvrtkama i institucijama. Ugrožena mreža je nakon toga širila velike količine neželjene pošte i zlonamjerne e-pošte, uspješno zaobilazeći sigurnosne filtre koje koriste glavni pružatelji usluga web pošte.
Prema Guardio Labsu , neki poznati brendovi i institucije, uključujući MSN, VMware, McAfee, The Economist, Sveučilište Cornell, CBS, Marvel, Swatch, Symantec, ACLU, PWC, Better Business Bureau, Unicef i eBay, između ostalih, izgubili su stranice u napadu. Nazvana “SubdoMailing”, operacija je zahtijevala značajna ulaganja i navodno je stvorila “znatan prihod” za aktere prijetnje.
Istraživači Guardio Labsa Nati Tal i Oleg Zaytsev otkrili su da su zlonamjerne e-poruke sadržavale ugrađene gumbe koji su skrivali zlonamjerne poveznice. Klikom na ove gumbe korisnici su vodili kroz niz preusmjeravanja na različite domene, dopuštajući napadačima da generiraju prihod putem “zlonamjernog oglašavanja” ili lažnih oglasa.
“Ova preusmjeravanja provjeravaju vrstu vašeg uređaja i geografsku lokaciju, što dovodi do sadržaja prilagođenog za povećanje profita”, rekli su istraživači. Međutim, nisu sva preusmjeravanja bila na benigne domene za lažne prikaze oglasa, budući da su neke poveznice također usmjeravale korisnike na stranice za krađu identiteta. U nekim su slučajevima web-mjesta preuzela zlonamjerni softver čiji je cilj prevariti korisnike.
Kampanja je navodno operativna od najmanje 2022. godine i iskoristila je SPF i DKIM pravila e-pošte za promicanje milijuna phishing e-poruka mimo sigurnih pristupnika e-pošte svaki dan. Napadači su također dizajnirali cijele e-poruke kao slike kako bi izbjegli tekstualne filtre neželjene pošte. Činjenica da potječu iz pouzdanih domena također je pomogla zaobići otkrivanje.
Istraživači vjeruju da je napade izvela zlonamjerna oglasna mreža pod nazivom “ResurrecAds” koja koristi “mračne taktike” za stvaranje prihoda. Jedna od tih taktika je oživljavanje mrtvih domena povezanih s velikim brendovima i njihovo korištenje kao stražnjih vrata za iskorištavanje legitimnih usluga i brendova.
Kako bi pomogao administratorima domena i vlasnicima web-mjesta da provjere ima li na svojim web-mjestima tragova zlouporabe, Guardio je stvorio alat za provjeru SubdoMailing . Pomoću ovog alata administratori mogu dobiti relevantne informacije o tome kako riješiti problem ako su njihove domene ugrožene i spriječiti takve napade u budućnosti.
