Operazione di Spam su vasta scala con domini non più in uso
Guardio Labs ha svelato una vasta operazione di spam, soprannominata SubdoMailing, che utilizza più di 8.000 domini e 13.000 sottodomini autentici per distribuire email indesiderate. L’ingegnoso schema mira a generare guadagni attraverso inganni e pubblicità ingannevoli.
Attraverso un’analisi approfondita dei metadati delle email e dei server SMTP, Guardio Labs ha portato alla luce un’ampia strategia di “subdomain hijacking”. I malintenzionati hanno manipolato protocolli come SPF, DKIM e DMARC per spedire milioni di email di spam, eludendo efficacemente i sistemi antispam.
Le email provenienti da questi domini e sottodomini legittimi, un tempo affiliati a marchi rinomati quali MSN, VMware, McAfee, CBS, Unicef, Symantec, eBay e Marvel, ma ora abbandonati, riescono a sfuggire ai controlli antispam. I criminali informatici hanno registrato questi domini lasciati in disuso, mettendo in atto diverse tattiche per realizzare la loro campagna di spam, come dettagliato in un articolo su Medium.
Tra le email inviate, alcune mascherate da notifiche di sicurezza inducono gli utenti a inserire le proprie credenziali di accesso a servizi come Facebook, iCloud, Amazon, consegnando di fatto i propri account nelle mani dei truffatori. La maggior parte delle comunicazioni ha lo scopo di trarre profitto da truffe e malvertising.
Guardio Labs attribuisce questa ingegnosa operazione al gruppo ResurrecAds, che ha creato un’elaborata rete per sfruttare domini e sottodomini autentici ma non più utilizzati. La campagna SubdoMailing si avvale di quasi 22.000 server SMTP per inviare fino a 5 milioni di email di spam giornalmente. È disponibile online una risorsa per verificare se un dominio è stato coinvolto in questa attività malevola.
Fonte: https://www.bleepingcomputer.com/news/security/hijacked-subdomains-of-major-brands-used-in-massive-spam-campaign/
