8,000+ Güvenilir Markaların Etki Alanları Büyük Spam Operasyonu için Ele Geçirildi
Meşru markalara ve kurumlara ait 8.000'den fazla alan adı ve 13.000 alt alan adı, spam çoğalması ve tıklamadan para kazanma için gelişmiş bir dağıtım mimarisinin parçası olarak ele geçirildi.
Guardio Labs, en az Eylül 2022'den beri devam eden koordineli kötü amaçlı etkinliği SubdoMailing adı altında izliyor. E-postalar, "sahte paket teslimat uyarılarından hesap kimlik bilgileri için doğrudan kimlik avına" kadar uzanıyor.
İsrailli güvenlik şirketi, kampanyayı, dijital reklamcılık ekosistemini hain kazançlar için manipüle etme nihai hedefiyle büyük markaların ölü alan adlarını veya bunlarla bağlantılı olarak yeniden canlandırdığı bilinen ResurrecAds adlı bir tehdit aktörüne bağladı.
Güvenlik araştırmacıları Nati Tal ve Oleg Zaytsev, paylaşılan bir raporda, "'ResurrecAds', sahip olunan birçok ek alan adının yanı sıra çok çeşitli ana bilgisayarları, SMTP sunucularını, IP adreslerini ve hatta özel konut ISP bağlantılarını kapsayan kapsamlı bir altyapıyı yönetiyor" dedi.
Özellikle, kampanya "her gün milyonlarca spam ve kötü amaçlı kimlik avı e-postasını dolaştırmak için bu alan adlarıyla ilişkili güvenden yararlanıyor, güvenlik önlemlerini aşmak için güvenilirliklerini ve çalınan kaynaklarını kurnazca kullanıyor."
Bu alt alan adları, ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Swatch, Symantec, The Economist, UNICEF ve VMware gibi büyük marka ve kuruluşlara aittir veya bunlarla bağlantılıdır.
Kampanya, standart güvenlik bloklarını atlama yeteneğiyle dikkat çekiyor ve tüm gövde, metin tabanlı spam filtrelerinden kaçınmak için bir görüntü olarak tasarlandı ve bu da farklı alanlar aracılığıyla bir dizi yönlendirme başlattı.
Araştırmacılar, "Bu yönlendirmeler, cihazınızın türünü ve coğrafi konumunuzu kontrol ederek kârı en üst düzeye çıkarmak için uyarlanmış içeriğe yol açar" dedi.
"Bu, can sıkıcı bir reklam veya bağlı kuruluş bağlantısından sınav dolandırıcılığı, kimlik avı siteleri ve hatta sizi daha doğrudan dolandırmayı amaçlayan bir kötü amaçlı yazılım indirme gibi daha aldatıcı taktiklere kadar her şey olabilir."
Bu e-postaların bir diğer önemli yönü de, bir posta sunucusunun belirli bir alan adı için e-posta gönderme yetkisine sahip olmasını sağlayarak kimlik sahtekarlığını önlemek için tasarlanmış bir e-posta kimlik doğrulama yöntemi olan Gönderen Politikası Çerçevesi'ni (SPF) atlayabilmeleridir.
E-postalar, iletilerin spam olarak işaretlenmesini önlemeye yardımcı olan Alan Anahtarları Tarafından Tanımlanan Posta (DKIM) ve Alan Adı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) kontrollerinden de geçtiği için yalnızca SPF değildir.
Guardio tarafından vurgulanan aldatıcı bir bulut depolama uyarı e-postası örneğinde, mesaj Kiev'deki bir SMTP sunucusundan geliyordu, ancak Return_UlKvw@marthastewart.msn.com'dan gönderildiği şeklinde işaretlendi.
marthastewart.msn.com için DNS kaydının daha yakından incelenmesi, alt alan adının başka bir etki alanına bağlı olduğunu ortaya çıkardı (msnmarthastewartsweeps[.] com) daha önce reklam teknolojisi şirketleri tarafından üçüncü taraf çerez engellemesini aşmak için silah haline getirilmiş bir takma ad tekniği olan bir CNAME kaydı aracılığıyla.
"Bu, alt etki alanının msnmarthastewartsweeps'in tüm davranışını devraldığı anlamına gelir[.] com, SPF politikası da dahil olmak üzere, "dedi araştırmacılar. "Bu durumda, aktör istediği kişiye msn gibi e-posta gönderebilir[.] com ve onaylı postaları bu e-postaları gönderdi!"
Burada, her iki alanın da meşru olduğunu ve 2001 yıl boyunca terk edilmiş bir durumda bırakılmadan önce 21'de bir noktada kısa bir süre aktif olduğunu belirtmekte fayda var. Eylül 2022'ye kadar msnmarthastewartsweeps[.] com özel olarak Namecheap'e kayıtlıdır.
Başka bir deyişle, karmaşık ele geçirme planı, tehdit aktörlerinin terk edilmiş alan adlarının sarkan CNAME kayıtlarıyla uzun süredir unutulmuş alt alan adlarını sistematik olarak taramasını ve ardından bunların kontrolünü ele geçirmek için kaydetmesini gerektirir.
CNAME-takeover, bu tür tanınmış alt alan adları, kullanıcıların kimlik bilgilerini toplamak için tasarlanmış sahte kimlik avı açılış sayfalarını barındırmak için ele geçirildiğinde de ciddi sonuçlar doğurabilir. Bununla birlikte, ele geçirilen alt alan adlarından herhangi birinin bu amaçla kullanıldığına dair bir kanıt yoktur.
Guardio, bilinen bir alan adının DNS SPF kaydının, feshedilmiş e-posta veya pazarlama ile ilgili hizmetlerle ilişkili terk edilmiş alan adlarını tuttuğu ve böylece saldırganların bu tür alan adlarının sahipliğini ele geçirmesine, kendi IP adreslerini kayda enjekte etmesine ve nihayetinde ana alan adı adına e-posta göndermesine izin verdiği örnekleri de bulduğunu söyledi.
Tehdide karşı koymak ve altyapıyı ortadan kaldırmak amacıyla Guardio, alan adı yöneticilerinin ve site sahiplerinin uzlaşma belirtileri aramasını sağlayan bir web sitesi olan SubdoMailing Checker'ı kullanıma sundu.
Araştırmacılar, "Bu operasyon, bu 'reklam ağı' istemcileri için mümkün olduğunca çok tıklama oluşturmayı amaçlayan çeşitli kötü niyetli 'Reklamlar' dağıtmak için bu varlıkları kötüye kullanmak için titizlikle tasarlandı" dedi.
"Güvenliği ihlal edilmiş saygın alan adları, sunucular ve IP adreslerinden oluşan geniş bir koleksiyonla donanmış olan bu reklam ağı, kötü amaçlı e-posta yayma sürecinde ustaca geziniyor, varlıkları arasında istediği zaman sorunsuz bir şekilde geçiş yapıyor ve atlıyor."
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
Benzer Haberler
Kötü Şöhretli Hacker Grubu TeamTNT, Kripto Madenciliği İçin Yeni Bulut Saldırıları Başlattı
Fidye Yazılımı Çeteleri, Son Saldırılarda Kurbanları Korkutmak İçin LockBit'in Ününü Kullanıyor
Bumblebee ve Latrodectus Kötü Amaçlı Yazılım Gelişmiş Kimlik Avı Stratejileriyle Geri Dönüyor
Dikkat: Sahte Google Meet Sayfaları, Devam Eden ClickFix Kampanyasında Bilgi Hırsızları Sağlıyor
Astaroth Banking Kötü Amaçlı Yazılımı, Hedef Odaklı Kimlik Avı Saldırısıyla Brezilya'da Yeniden Ortaya Çıktı
FASTCash Kötü Amaçlı Yazılımının Yeni Linux Varyantı, ATM Soygunlarında Ödeme Anahtarlarını Hedefliyor
Çin, ABD'yi kendi bilgisayar korsanlığı kampanyalarını gizlemek için Volt Typhoon'u üretmekle suçluyor
Yeni Gorilla Botnet, 100 Ülkede 300.000'den Fazla DDoS Saldırısı Başlattı