Más de 8.000 subdominios pertenecientes a marcas e instituciones legítimas han sido secuestrados como parte de una sofisticada arquitectura de distribución para la proliferación de spam y la monetización de clics.
Guardio Labs está rastreando la actividad maliciosa coordinada, que ha estado en curso desde al menos septiembre de 2022, bajo el nombre SubdoMailing. Los correos electrónicos van desde «alertas de entrega de paquetes falsificados hasta phishing directo para obtener credenciales de cuentas».
La empresa de seguridad israelí atribuyó la campaña a un actor de amenazas al que llama ResurrecAnunciosque es conocido por resucitar dominios muertos o afiliados a grandes marcas con el fin de manipular el ecosistema de publicidad digital para obtener ganancias nefastas.
«‘ResurrecAds’ gestiona una infraestructura extensa que abarca una amplia gama de hosts, servidores SMTP, direcciones IP e incluso conexiones ISP residenciales privadas, junto con muchos nombres de dominio propios adicionales», investigadores de seguridad Nati Tal y Oleg Zaytsev dicho en un informe compartido con The Hacker News.
En particular, la campaña «aprovecha la confianza asociada con estos dominios para hacer circular spam y correos electrónicos de phishing maliciosos por millones cada día, utilizando astutamente su credibilidad y recursos robados para eludir las medidas de seguridad».
Estos subdominios pertenecen o están afiliados a grandes marcas y organizaciones como ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Symantec, The Economist, UNICEF y VMware, entre otras.
La campaña destaca por su capacidad para sortear los bloqueos de seguridad estándar, con todo el cuerpo concebido como una imagen para evadir los filtros de spam basados en texto, cuyo clic inicia una serie de redirecciones a través de diferentes dominios.
«Estas redirecciones verifican el tipo de dispositivo y la ubicación geográfica, lo que genera contenido personalizado para maximizar las ganancias», explicaron los investigadores.
«Esto podría ser cualquier cosa, desde un anuncio molesto o un enlace de afiliado hasta tácticas más engañosas como estafas con cuestionarios, sitios de phishing o incluso una descarga de malware destinada a estafarle su dinero de manera más directa».
Otro aspecto crucial de estos correos electrónicos es que también son capaces de eludir el Marco de políticas del remitente (FPS), un método de autenticación de correo electrónico diseñado para evitar la suplantación de identidad garantizando que un servidor de correo esté autorizado para enviar correo electrónico para un dominio determinado.
No se trata solo de SPF, ya que los correos electrónicos también pasan el correo identificado con claves de dominio (DKIM) y autenticación, informes y conformidad de mensajes basados en dominio (DMARC) comprobaciones que ayudan a evitar que los mensajes se marquen como spam.
En un ejemplo de correo electrónico engañoso de advertencia sobre almacenamiento en la nube destacado por Guardio, el mensaje se originó en un servidor SMTP en Kiev, pero se marcó como enviado desde [email protected].
Un examen más detenido del registro DNS de marthastewart.msn.com reveló que el subdominio está vinculado a otro dominio (msnmarthastewartsweeps[.]com) con ese registro CNAME, una técnica de alias que las empresas de tecnología publicitaria han utilizado previamente como arma para evitar el bloqueo de cookies de terceros.
«Esto significa que el subdominio hereda todo el comportamiento de msnmarthastewartsweeps[.]com, incluida su política SPF», dijeron los investigadores. «En este caso, el actor puede enviar correos electrónicos a quien desee, como si fuera msn[.]com y sus remitentes aprobados enviaron esos correos electrónicos!»
Vale la pena señalar aquí que ambos dominios fueron legítimo y brevemente activo en algún momento de 2001, antes de que los dejaran abandonados durante 21 años. No fue hasta septiembre de 2022 cuando msnmarthastewartsweeps[.]com se registró de forma privada en Namecheap.
En otros, el esquema de secuestro implica que los actores de amenazas busquen constantemente subdominios olvidados hace mucho tiempo con registros CNAME de dominios abandonados y luego los registren para tomar el control de ellos.
La adquisición de CNAME también puede tener graves consecuencias cuando estos subdominios reputados se aprovechan para albergar páginas de destino de phishing falsas diseñadas para recopilar las credenciales de los usuarios. Dicho esto, no hay evidencia de que alguno de los subdominios secuestrados haya sido utilizado para este propósito.
Guardio dijo que también encontró casos en los que el Registro DNS SPF de un dominio conocido contiene dominios abandonados asociados con servicios de correo electrónico o de marketing inactivos, lo que permite a los atacantes hacerse con la propiedad de dichos dominios, inyectar sus propias direcciones IP en el registro y, en última instancia, enviar correos electrónicos en nombre del nombre de dominio principal.
En un esfuerzo por contrarrestar la amenaza y desmantelar la infraestructura, Guardio ha puesto a disposición una SubdoMailing Checkerun sitio web que permite a los administradores de dominios y propietarios de sitios buscar señales de compromiso.
«Esta operación está meticulosamente diseñada para hacer un mal uso de estos activos para distribuir diversos ‘anuncios’ malévolos, con el objetivo de generar tantos clics como sea posible para estos clientes de la ‘red publicitaria'», dijeron los investigadores.
«Armada con una amplia colección de dominios, servidores y direcciones IP de buena reputación comprometidos, esta red publicitaria navega hábilmente a través del proceso de propagación de correo electrónico malicioso, cambiando y saltando sin problemas entre sus activos a voluntad».