Meer dan 8.000 subdomeinen van legitieme merken en instellingen zijn gekaapt als onderdeel van een geavanceerde distributiearchitectuur voor de verspreiding van spam en het genereren van inkomsten met klikken.
Guardio Labs volgt de gecoördineerde kwaadaardige activiteit, die al sinds september 2022 aan de gang is, onder de naam SubdoMailing. De e-mails variëren van “waarschuwingen voor de bezorging van namaakpakketten tot regelrechte phishing voor accountgegevens.”
Het Israëlische beveiligingsbedrijf schreef de campagne toe aan een bedreigingsacteur die het noemt Heroplevingsadvertentieswaarvan bekend is dat het dode domeinen van of gelieerd aan grote merken nieuw leven inblaast met als einddoel het manipuleren van het digitale reclame-ecosysteem voor snode winsten.
“ResurrecAds beheert een uitgebreide infrastructuur die een breed scala aan hosts, SMTP-servers, IP-adressen en zelfs particuliere residentiële ISP-verbindingen omvat, naast vele extra domeinnamen”, zeggen beveiligingsonderzoekers Nati Tal en Oleg Zaytsev in een rapport gedeeld met The Hackernieuws.
In het bijzonder maakt de campagne “gebruik van het vertrouwen dat met deze domeinen gepaard gaat om elke dag miljoenen spam en kwaadaardige phishing-e-mails te verspreiden, waarbij op sluwe wijze gebruik wordt gemaakt van hun geloofwaardigheid en gestolen bronnen om de beveiligingsmaatregelen te omzeilen.”
Deze subdomeinen zijn eigendom van of zijn aangesloten bij grote merken en organisaties zoals onder meer ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Symantec, The Economist, UNICEF en VMware.
De campagne valt op door het vermogen om standaard beveiligingsblokkeringen te omzeilen, waarbij het hele lichaam is opgevat als een afbeelding om op tekst gebaseerde spamfilters te omzeilen, waarbij klikken een reeks omleidingen via verschillende domeinen initieert.
“Deze omleidingen controleren uw apparaattype en geografische locatie, wat leidt tot inhoud die is afgestemd op het maximaliseren van de winst”, leggen de onderzoekers uit.
“Dit kan van alles zijn, van een vervelende advertentie of affiliate-link tot meer misleidende tactieken zoals quiz-oplichting, phishing-sites of zelfs een download van malware die erop gericht is u op een directere manier van uw geld af te troggelen.”
Een ander cruciaal aspect van deze e-mails is dat ze ook het Sender Policy Framework (SPF) kunnen omzeilen, een e-mailauthenticatiemethode die is ontworpen om spoofing te voorkomen door ervoor te zorgen dat een mailserver geautoriseerd is om e-mail te verzenden voor een bepaald domein.
Het is niet alleen SPF, de e-mails passeren ook DomainKeys Identified Mail (DKIM) en Domain-based Message Authentication, Reporting and Conformance (DMARC) controles die helpen voorkomen dat berichten als spam worden gemarkeerd.
In een voorbeeld van een misleidende waarschuwings-e-mail voor cloudopslag, benadrukt door Guardio, was het bericht afkomstig van een SMTP-server in Kiev, maar werd gemarkeerd als verzonden vanaf [email protected].
Bij nader onderzoek van het DNS-record voor marthastewart.msn.com bleek dat het subdomein gekoppeld is aan een ander domein (msnmarthastewartsweeps[.]com) door middel van een CNAME-record, een aliasingtechniek die eerder door reclametechnologiebedrijven is gebruikt om het blokkeren van cookies van derden te omzeilen.
“Dit betekent dat het subdomein het volledige gedrag van msnmarthastewartsweeps erft[.]com, inclusief zijn SPF-beleid”, aldus de onderzoekers. “In dit geval kan de acteur e-mails sturen naar iedereen die hij maar wil, alsof hij msn[.]com en hun goedgekeurde mailers hebben deze e-mails verzonden!”
Het is de moeite waard om erop te wijzen dat beide domeinen ergens in 2001 legitiem en kortstondig actief waren, voordat ze 21 jaar lang in een verlaten staat bleven. Pas in september 2022 begon msnmarthastewartsweeps[.]com was privé geregistreerd bij Namecheap.
In andere gevallen houdt het kapingschema in dat de bedreigingsactoren voortdurend zoeken naar lang vergeten subdomeinen met bungelende CNAME-records van verlaten domeinen en deze vervolgens registreren om de controle over deze domeinen over te nemen.
CNAME-overname kan ook ernstige gevolgen hebben wanneer dergelijke gereputeerde subdomeinen in beslag worden genomen om valse phishing-bestemmingspagina’s te hosten die zijn ontworpen om de inloggegevens van gebruikers te verzamelen. Dat gezegd hebbende, is er geen bewijs dat een van de gekaapte subdomeinen voor dit doel is gebruikt.
Guardio zei dat het ook gevallen heeft gevonden waarin het DNS SPF-record van een bekend domein verlaten domeinen bevat die verband houden met ter ziele gegane e-mail- of marketinggerelateerde diensten, waardoor aanvallers het eigendom van dergelijke domeinen kunnen overnemen, hun eigen IP-adressen in het record kunnen injecteren en uiteindelijk e-mails verzenden namens de hoofddomeinnaam.
In een poging de dreiging het hoofd te bieden en de infrastructuur te ontmantelen, heeft Guardio een SubdoMailing Checker beschikbaar gesteld, een website waarmee domeinbeheerders en site-eigenaren kunnen zoeken naar tekenen van compromis.
“Deze operatie is zorgvuldig ontworpen om deze middelen te misbruiken voor het verspreiden van verschillende kwaadaardige ‘Advertenties’, met als doel zoveel mogelijk klikken te genereren voor deze ‘advertentienetwerk’-klanten’, aldus de onderzoekers.
“Gewapend met een enorme verzameling gecompromitteerde gerenommeerde domeinen, servers en IP-adressen navigeert dit advertentienetwerk behendig door het kwaadaardige e-mailverspreidingsproces, waarbij het naadloos naar eigen inzicht tussen zijn activa schakelt en springt.”
