Мёртвые домены атакуют: как устроена операция SubdoMailing

01.03.2024

В масштабной фишинговой операции «SubdoMailing», которая была раскрыта специалистами из Guardio Labs, злоумышленниками было скомпрометировано более 8 000 поддоменов известных брендов и учреждений, включая eBay, VMware, McAfee, The Economist, Университет Корнелла, CBS, Marvel и т.д. Эта операция, как выявили исследователи, является частью более крупных действий конкретной хакерской группировки, направленных на подрыв доверия и кредитоспособности скомпрометированных организаций.

Операция SubdoMailing позволяет злоумышленникам отправлять миллионы злонамеренных электронных писем ежедневно, которые, казалось бы, исходят от доверенных доменов и обходят все стандартные меры безопасности электронной почты, такие как SPF, DKIM, SMTP Server и DMARC. Эта кампания характеризуется сложными манипуляциями с DNS-записями захваченных доменов, что позволяет отправлять спам и вредоносные электронные письма от имени международно признанных брендов.

Раскрытие этой вредоносной схемы произошло после того, как системы защиты электронной почты Guardio обнаружили необычные паттерны в метаданных электронного письма, связанного с давно устаревшим партнёрством между американской телеведущей Мартой Стюарт и MSN.com. В результате детального исследования, исследователи обнаружили классическую схему захвата поддоменов, где электронные письма, отправляемые с определённых IP-адресов, ошибочно пропускались системами безопасности как законные.

Guardio отследила поддомен «msnmarthastewartsweeps.com» до промоушен-кампании, проведённой 22 года назад, которая была заново зарегистрирована с использованием компании-регистратора доменных имён Namecheap в сентябре 2022 года. Сейчас этот домен контролируется злоумышленником, который имеет возможность отправлять электронные письма от имени msn.com.

Подробнее >>>

Источник: Информационный портал по безопасности