在線安全公司 Guardio 周一報道稱,數千個域名(其中許多曾經屬於大公司)被濫用,使數百萬封電子郵件通過瞭垃圾郵件過濾器。
該網絡安全公司的研究人員發現瞭一場重大活動,他們將其稱為SubdoMailing,並將其歸因於名為 ResurrecAds 的威脅行為者。
Guardio 報告稱,識別出大約 8,800 個被劫持的域名(特別是超過 13,000 個相關子域名),這些域名每天被用來發送大約 500 萬封電子郵件。被濫用的域名數量每天都在以數百個的速度增長。
該公司已發現之前屬於 MSN、CBS News、New York City、Philips、Cornell University、VMware、Swatch、Scotiabank 和 McAfee 的被濫用域名。
至少自 2022 年末以來,ResurrecAds 一直在尋找長期被遺忘的子域,這些子域具有關聯的 DNS 記錄,例如 CNAME(另一個域的別名)或 SPF(列出所有有權從某個域發送電子郵件的服務器,以防止欺騙)。
威脅行為者可以註冊該域,然後濫用該域和現有的 DNS 記錄來發送電子郵件,與常規垃圾郵件活動相比,這些電子郵件更有可能通過垃圾郵件過濾器。
作為 SubdoMailing 活動的一部分發送的電子郵件旨在誘騙用戶與消息進行交互,這會引導他們通過一系列重定向來檢查設備類型和位置,最終將受害者引導至詐騙或網絡釣魚網站。
Guardio 描述的一個具體示例涉及子域“marthastewart.msn.com”,微軟在二十多年前曾使用該子域進行瑪莎·斯圖爾特抽獎活動。
ResurrecAds 似乎正在運營一個“廣告網絡”,其目標是為其客戶產生盡可能多的點擊次數。
瓜迪奧說:“這個[威脅行為者]似乎正在系統地掃描互聯網上的易受攻擊的域,識別機會,購買域,保護主機和IP地址,然後精心策劃正在進行的電子郵件傳播活動。” “這涉及一個由被劫持和故意獲取的域名和知識產權資產組成的龐大網絡,表明在維持如此廣泛的運營規模方面具有高水平的組織和技術復雜性。”
該網絡安全公司發佈瞭一款在線工具,可用於檢查域是否在 SubdoMailers 活動中受到損害和濫用。
“業界對可信域抱有一種錯誤的安全感,因為它們從來都不是完全安全的。在 SlashNext,我們看到數以萬計的惡意子域隱藏在受信任的域中。目前,我們的威脅源中有 149,345 個實時網絡釣魚威脅 URL,這些 URL 位於合法、可信的域上。”反網絡釣魚公司 SlashNext 的首席執行官帕特裡克·哈爾 (Patrick Harr) 告訴SecurityWeek。
“雖然 DMARC、DKIM 和 SPF 很重要,但它無法檢測到這些威脅。在安全堆棧中采用計算機視覺等人工智能技術至關重要,它可以超越域聲譽來檢測隱藏在合法網站上的威脅。”Harr 補充道。
