Verwaarloosde domeinen die in malspam worden gebruikt om SPF- en DMARC-beveiligingsbeschermingen te omzeilen

Onderzoekers op het gebied van cyberbeveiliging hebben ontdekt dat slechte actoren succes blijven boeken door e-mailadressen van afzenders te vervalsen als onderdeel van verschillende malspamcampagnes.

Het vervalsen van het afzenderadres van een e-mail wordt algemeen gezien als een poging om de digitale boodschap legitiemer te maken en beveiligingsmechanismen te omzeilen die deze anders als kwaadaardig zouden kunnen markeren.

Hoewel er waarborgen zijn zoals DomainKeys Identified Mail (DKIM), Domain-based Message Authentication, Reporting and Conformance (DMARC) en Sender Policy Framework (SPF) die kunnen worden gebruikt om te voorkomen dat spammers bekende domeinen spoofen bracht hen ertoe oude, verwaarloosde domeinen in hun activiteiten te benutten.

Hierdoor zullen de e-mailberichten waarschijnlijk de veiligheidscontroles omzeilen die afhankelijk zijn van de leeftijd van het domein als middel om spam te identificeren.

In een nieuwe analyse gedeeld met The Hacker News ontdekte het DNS-bedreigingsinformatiebedrijf dat bedreigingsactoren, waaronder Muddling Meerkat en anderen, een aantal van zijn eigen oude, niet meer gebruikte topniveaudomeinen (TLD’s) hebben misbruikt die niet zijn gebruikt om te hosten inhoud al bijna 20 jaar.

“Ze missen de meeste DNS-records, inclusief de records die doorgaans worden gebruikt om de authenticiteit van een afzenderdomein te controleren, bijvoorbeeld Sender Policy Framework (SPF) -records”, aldus het bedrijf. “De domeinen zijn kort en bevinden zich in zeer gerenommeerde TLD’s.”

Eén van die campagnes, die in ieder geval sinds december 2022 actief is, betreft het verspreiden van e-mailberichten met bijlagen met QR-codes die naar phishing-sites leiden. Het instrueert ontvangers ook om de bijlage te openen en de AliPay- of WeChat-apps op hun telefoons te gebruiken om de QR-code te scannen.

De e-mails maken gebruik van belastinggerelateerde lokmiddelen die in het Mandarijn zijn geschreven, terwijl de QR-codedocumenten ook op verschillende manieren achter een viercijferig wachtwoord in de hoofdtekst van de e-mail worden vergrendeld. In één geval spoorde de phishing-site gebruikers aan om hun identificatie- en kaartgegevens in te voeren en vervolgens een frauduleuze betaling aan de aanvaller uit te voeren.

“Hoewel de campagnes gebruik maken van de verwaarloosde domeinen die we zien bij Muddling Meerkat, lijken ze in grote lijnen willekeurige domeinen te vervalsen, zelfs domeinen die niet bestaan”, legt Infoblox uit. “De acteur kan deze techniek gebruiken om herhaalde e-mails van dezelfde afzender te vermijden.”

Het bedrijf zei dat het ook phishing-campagnes heeft waargenomen die populaire merken als Amazon, Mastercard en SMBC nabootsen om slachtoffers door te sturen naar valse inlogpagina’s met behulp van verkeersdistributiesystemen (TDS’s) met als doel hun inloggegevens te stelen. Enkele van de e-mailadressen waarvan is vastgesteld dat ze vervalste afzenderdomeinen gebruiken, worden hieronder vermeld:

Een derde categorie spam heeft betrekking op afpersing, waarbij e-mailontvangers wordt gevraagd een betaling van $1800 in Bitcoin te doen om gênante video’s van zichzelf te verwijderen die zijn opgenomen met een zogenaamde trojan voor externe toegang die op hun systemen is geïnstalleerd.

“De acteur vervalst het eigen e-mailadres van de gebruiker en daagt hem uit om het te controleren en te zien,” Infoblox De e-mail vertelt de gebruiker dat zijn apparaat is gecompromitteerd, en als bewijs beweert de acteur dat het bericht is verzonden vanaf het eigen account van de gebruiker. “

De onthulling komt omdat de juridische sector, de overheid en de bouwsector sinds begin september 2024 het doelwit zijn van een nieuwe phishing-campagne genaamd Butcher Shop, die tot doel heeft Microsoft 365-inloggegevens te stelen.

De aanvallen maken volgens Obsidian Security misbruik van vertrouwde platforms zoals Canva, Dropbox DocSend en Google Accelerated Mobile Pages (AMP’s) om gebruikers om te leiden naar de kwaadaardige sites. Enkele van de andere kanalen omvatten e-mails en gecompromitteerde WordPress-sites.

“Voordat de phishing-pagina wordt weergegeven, wordt een aangepaste pagina met een Cloudflare Turnstile getoond om te verifiëren dat de gebruiker inderdaad een mens is”, aldus het bedrijf. “Deze tourniquets maken het moeilijker voor e-mailbeveiligingssystemen, zoals URL-scanners, om phishing-sites te detecteren.”

De afgelopen maanden zijn sms-phishing-campagnes waargenomen waarbij de identiteit van wetshandhavingsinstanties in de VAE werd nagebootst en valse betalingsverzoeken werden verzonden voor niet-bestaande verkeersovertredingen, parkeerovertredingen en verlengingen van vergunningen. Sommige van de nepsites die voor dit doel zijn opgezet, worden toegeschreven aan een bekende bedreigingsacteur genaamd Smishing Triad.

Bankklanten in het Midden-Oosten zijn ook het doelwit van een geavanceerd social engineering-programma dat zich tijdens telefoongesprekken voordoet als overheidsfunctionarissen en software voor externe toegang gebruikt om creditcardgegevens en eenmalige wachtwoorden (OTP’s) te stelen.

De campagne, die wordt beschouwd als het werk van onbekende moedertaalsprekers van het Arabisch, blijkt in de eerste plaats gericht te zijn tegen vrouwelijke consumenten bij wie hun persoonlijke gegevens zijn gelekt via stealer-malware op het dark web.

“De zwendel richt zich specifiek op personen die eerder commerciële klachten hebben ingediend bij het overheidsdienstenportaal, hetzij via de website of mobiele app, met betrekking tot producten of diensten die zijn gekocht bij online verkopers”, aldus Group-IB in een vandaag gepubliceerde analyse.

“De fraudeurs maken misbruik van de bereidheid van de slachtoffers om mee te werken en hun instructies op te volgen, in de hoop terugbetalingen te ontvangen voor hun onbevredigende aankopen.”

Een andere door Cofense geïdentificeerde campagne omvat het verzenden van e-mails die beweren afkomstig te zijn van de Amerikaanse socialezekerheidsadministratie, waarin een link is ingesloten om een ​​installatieprogramma voor de ConnectWise-software voor externe toegang te downloaden of om de slachtoffers naar pagina’s voor het verzamelen van inloggegevens te leiden.

De ontwikkeling komt doordat generieke topniveaudomeinen (gTLD’s) zoals .top, .xyz, .shop, .vip en .club verantwoordelijk zijn voor 37% van de cybercriminaliteitsdomeinen die tussen september 2023 en augustus 2024 zijn gerapporteerd, ondanks dat ze slechts 11% in handen hebben. van de totale domeinnaammarkt, volgens een rapport van de Interisle Consulting Group.

Deze domeinen zijn lucratief geworden voor kwaadwillende actoren vanwege de lage prijzen en het ontbreken van registratievereisten, waardoor deuren voor misbruik worden geopend. Van de gTLD’s die veel worden gebruikt voor cybercriminaliteit, boden er 22 registratiekosten van minder dan $ 2,00.

Er zijn ook bedreigingsactoren ontdekt die reclame maken voor een kwaadaardige WordPress-plug-in genaamd PhishWP die kan worden gebruikt om aanpasbare betalingspagina’s te maken die legitieme betalingsverwerkers zoals Stripe nabootsen om persoonlijke en financiële gegevens via Telegram te stelen.

“Aanvallers kunnen legitieme WordPress-websites in gevaar brengen of frauduleuze websites opzetten om deze te installeren”, aldus SlashNext in een nieuw rapport. “Nadat de plug-in is geconfigureerd om een ​​betalingsgateway na te bootsen, worden nietsvermoedende gebruikers ertoe verleid hun betalingsgegevens in te voeren. De plug-in verzamelt deze informatie en stuurt deze rechtstreeks naar aanvallers, vaak in realtime.”

Thijs Van der Does