M\u00e1s de 8.000 subdominios pertenecientes a marcas e instituciones leg\u00edtimas han sido secuestrados como parte de una sofisticada arquitectura de distribuci\u00f3n para la proliferaci\u00f3n de spam y la monetizaci\u00f3n de clics.<\/p>\n
Guardio Labs est\u00e1 rastreando la actividad maliciosa coordinada, que ha estado en curso desde al menos septiembre de 2022, bajo el nombre SubdoMailing. Los correos electr\u00f3nicos van desde “alertas de entrega de paquetes falsificados hasta phishing directo para obtener credenciales de cuentas”.<\/p>\n
La empresa de seguridad israel\u00ed atribuy\u00f3 la campa\u00f1a a un actor de amenazas al que llama ResurrecAnuncios<\/strong>que es conocido por resucitar dominios muertos o afiliados a grandes marcas con el fin de manipular el ecosistema de publicidad digital para obtener ganancias nefastas.<\/p>\n “‘ResurrecAds’ gestiona una infraestructura extensa que abarca una amplia gama de hosts, servidores SMTP, direcciones IP e incluso conexiones ISP residenciales privadas, junto con muchos nombres de dominio propios adicionales”, investigadores de seguridad Nati Tal y Oleg Zaytsev dicho<\/a> en un informe compartido con The Hacker News.<\/p>\n En particular, la campa\u00f1a “aprovecha la confianza asociada con estos dominios para hacer circular spam y correos electr\u00f3nicos de phishing maliciosos por millones cada d\u00eda, utilizando astutamente su credibilidad y recursos robados para eludir las medidas de seguridad”.<\/p>\n Estos subdominios pertenecen o est\u00e1n afiliados a grandes marcas y organizaciones como ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Symantec, The Economist, UNICEF y VMware, entre otras.<\/p>\n La campa\u00f1a destaca por su capacidad para sortear los bloqueos de seguridad est\u00e1ndar, con todo el cuerpo concebido como una imagen para evadir los filtros de spam basados \u200b\u200ben texto, cuyo clic inicia una serie de redirecciones a trav\u00e9s de diferentes dominios.<\/p>\n “Estas redirecciones verifican el tipo de dispositivo y la ubicaci\u00f3n geogr\u00e1fica, lo que genera contenido personalizado para maximizar las ganancias”, explicaron los investigadores.<\/p>\n “Esto podr\u00eda ser cualquier cosa, desde un anuncio molesto o un enlace de afiliado hasta t\u00e1cticas m\u00e1s enga\u00f1osas como estafas con cuestionarios, sitios de phishing o incluso una descarga de malware destinada a estafarle su dinero de manera m\u00e1s directa”.<\/p>\n Otro aspecto crucial de estos correos electr\u00f3nicos es que tambi\u00e9n son capaces de eludir el Marco de pol\u00edticas del remitente (FPS<\/a>), un m\u00e9todo de autenticaci\u00f3n de correo electr\u00f3nico dise\u00f1ado para evitar la suplantaci\u00f3n de identidad garantizando que un servidor de correo est\u00e9 autorizado para enviar correo electr\u00f3nico para un dominio determinado.<\/p>\n No se trata solo de SPF, ya que los correos electr\u00f3nicos tambi\u00e9n pasan el correo identificado con claves de dominio (DKIM<\/a>) y autenticaci\u00f3n, informes y conformidad de mensajes basados \u200b\u200ben dominio (DMARC<\/a>) comprobaciones que ayudan a evitar que los mensajes se marquen como spam.<\/p>\n En un ejemplo de correo electr\u00f3nico enga\u00f1oso de advertencia sobre almacenamiento en la nube destacado por Guardio, el mensaje se origin\u00f3 en un servidor SMTP en Kiev, pero se marc\u00f3 como enviado desde Return_UlKvw@marthastewart.msn.com.<\/p>\n Un examen m\u00e1s detenido del registro DNS de marthastewart.msn.com revel\u00f3 que el subdominio est\u00e1 vinculado a otro dominio (msnmarthastewartsweeps[.]com) con ese registro CNAME, una t\u00e9cnica de alias que las empresas de tecnolog\u00eda publicitaria han utilizado previamente como arma para evitar el bloqueo de cookies de terceros.<\/p>\n “Esto significa que el subdominio hereda todo el comportamiento de msnmarthastewartsweeps[.]com, incluida su pol\u00edtica SPF”, dijeron los investigadores. “En este caso, el actor puede enviar correos electr\u00f3nicos a quien desee, como si fuera msn[.]com y sus remitentes aprobados enviaron esos correos electr\u00f3nicos!”<\/p>\n Vale la pena se\u00f1alar aqu\u00ed que ambos dominios fueron leg\u00edtimo y brevemente activo<\/a> en alg\u00fan momento de 2001, antes de que los dejaran abandonados durante 21 a\u00f1os. No fue hasta septiembre de 2022 cuando msnmarthastewartsweeps[.]com se registr\u00f3 de forma privada en Namecheap.<\/p>\n En otros, el esquema de secuestro implica que los actores de amenazas busquen constantemente subdominios olvidados hace mucho tiempo con registros CNAME de dominios abandonados y luego los registren para tomar el control de ellos.<\/p>\n La adquisici\u00f3n de CNAME tambi\u00e9n puede tener graves consecuencias cuando estos subdominios reputados se aprovechan para albergar p\u00e1ginas de destino de phishing falsas dise\u00f1adas para recopilar las credenciales de los usuarios. Dicho esto, no hay evidencia de que alguno de los subdominios secuestrados haya sido utilizado para este prop\u00f3sito.<\/p>\n Guardio dijo que tambi\u00e9n encontr\u00f3 casos en los que el Registro DNS SPF<\/a> de un dominio conocido contiene dominios abandonados asociados con servicios de correo electr\u00f3nico o de marketing inactivos, lo que permite a los atacantes hacerse con la propiedad de dichos dominios, inyectar sus propias direcciones IP en el registro y, en \u00faltima instancia, enviar correos electr\u00f3nicos en nombre del nombre de dominio principal.<\/p>\n En un esfuerzo por contrarrestar la amenaza y desmantelar la infraestructura, Guardio ha puesto a disposici\u00f3n una SubdoMailing Checker<\/a>un sitio web que permite a los administradores de dominios y propietarios de sitios buscar se\u00f1ales de compromiso.<\/p>\n “Esta operaci\u00f3n est\u00e1 meticulosamente dise\u00f1ada para hacer un mal uso de estos activos para distribuir diversos ‘anuncios’ mal\u00e9volos, con el objetivo de generar tantos clics como sea posible para estos clientes de la ‘red publicitaria'”, dijeron los investigadores.<\/p>\n “Armada con una amplia colecci\u00f3n de dominios, servidores y direcciones IP de buena reputaci\u00f3n comprometidos, esta red publicitaria navega h\u00e1bilmente a trav\u00e9s del proceso de propagaci\u00f3n de correo electr\u00f3nico malicioso, cambiando y saltando sin problemas entre sus activos a voluntad”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Mas-de-8000-subdominios-de-marcas-confiables-secuestrados-para-operaciones.jpg\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/div>\n<\/a><\/center><\/div>\n