Οι επιτιθέμενοι έχουν παραβιάσει περισσότερους από 8,000 υποτομείς από γνωστές μάρκες και ιδρύματα για να δημιουργήσουν μια μεγάλη έκταση Phishing εκστρατεία που στέλνει κακόβουλα μηνύματα ηλεκτρονικού ταχυδρομείου που αριθμούν εκατομμύρια κάθε μέρα.

MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel και eBay είναι μεταξύ των οντοτήτων που εμπλέκονται στο "SubdoMailing" — που ονομάζονται από ερευνητές από τα Guardio Labs που ανακάλυψαν την καμπάνια, η οποία βρίσκεται στο επίκεντρο ενός μεγαλύτερου εγχειρήματος κυβερνοεγκληματικότητας και υπονομεύει την εμπιστοσύνη και την αξιοπιστία των παραβιασμένων οργανώσεων, είπαν.

«Η ακάλυπτη επιχείρηση περιλαμβάνει τη χειραγώγηση χιλιάδων υποτομέων που έχουν παραβιαστεί που ανήκουν ή συνδέονται με μεγάλες επωνυμίες», ο επικεφαλής της Guardio Labs-Cybersecurity Nati Tal και ο ερευνητής ασφάλειας Oleg Zaytsev. έγραψε σε μια ανάρτηση στην πλατφόρμα κοινής χρήσης περιεχομένου Medium. «Οι περίπλοκοι χειρισμοί DNS για αυτούς τους τομείς επέτρεψαν την αποστολή τεράστιων ποσοτήτων ανεπιθύμητων και απλώς κακόβουλων email, ψευδώς εξουσιοδοτημένων υπό το πρόσχημα διεθνώς αναγνωρισμένων εμπορικών σημάτων».

Η καμπάνια έχει δημιουργηθεί με τέτοιο τρόπο ώστε τα μηνύματα ηλεκτρονικού ταχυδρομείου φαίνεται να προέρχονται από αξιόπιστους τομείς και παρακάμπτουν όλα τα πρότυπα του κλάδου μέτρα ασφαλείας email συνήθως υπάρχει για τον αποκλεισμό ύποπτων μηνυμάτων, συμπεριλαμβανομένων των Πλαίσιο Πολιτικής Αποστολέα (SPF), DKIM, διακομιστή SMTP και dMarc, είπαν οι ερευνητές.

Ανακαλύπτοντας το Σχέδιο Αεροπειρατείας

Ο Guardio αναλύει λεπτομερώς στην ανάρτηση πώς αποκάλυψε τη λειτουργία αφού τα συστήματα προστασίας email του επισήμαναν ένα email για ασυνήθιστα μοτίβα στα μεταδεδομένα email. Έστειλε τους ερευνητές σε μια τρύπα από κουνέλι που τελικά οδήγησε σε μια μακροχρόνια συνεργασία μεταξύ της γκουρού του lifestyle Martha Stewart και του MSN.com.

Το παράδειγμα που αναφέρθηκε ήταν "ένα ιδιαίτερα ύπουλο μήνυμα ηλεκτρονικού ταχυδρομείου" που ειδοποιούσε κάποιον για υποτιθέμενη ύποπτη δραστηριότητα σε έναν λογαριασμό αποθήκευσης cloud που κατέληγε στα "Κύρια" εισερχόμενα ενός χρήστη, όταν θα έπρεπε να έχει επισημανθεί ως ανεπιθύμητο.

Το μήνυμα ηλεκτρονικού ταχυδρομείου — που δημιουργήθηκε ως εικόνα για την αποφυγή φίλτρων ανεπιθύμητης αλληλογραφίας που βασίζονται σε κείμενο — ενεργοποιεί μια σειρά από ανακατευθύνσεις κλικ μέσω διαφορετικών τομέων που είναι χαρακτηριστικό των καμπανιών ηλεκτρονικού ψαρέματος (phishing). Οι ανακατευθύνσεις σε αυτήν την περίπτωση ελέγχουν τον τύπο της συσκευής και τη γεωγραφική θέση του θύματος και το οδηγούν σε ποικίλο περιεχόμενο προσαρμοσμένο για τη μεγιστοποίηση του κέρδους, όπως διαφημίσεις, συνδέσμους συνεργατών που οδηγούν σε κάμερες κουίζ, ιστότοπους ηλεκτρονικού ψαρέματος ή ακόμα και κακόβουλο λογισμικό.

Όταν ακολούθησαν το ίχνος του τρόπου με τον οποίο το email πέρασε από τη σάρωση ασφαλείας και τις προστασίες, οι ερευνητές βρήκαν αυτό που θεώρησαν ως «κλασικό υποτομέα σχέδιο αεροπειρατείας.» Ενώ το email προήλθε από τον 62.244.33.18, έναν διακομιστή SMTP στο Κίεβο, επισημάνθηκε ως αποστολή από [προστασία μέσω email].

Αυτό στην επιφάνεια θα φαινόταν θεμιτό, σημείωσαν οι ερευνητές. Ωστόσο, στο σενάριο, ένας υποτομέας του msn.com εξουσιοδότησε τον διακομιστή SMTP στο 62.244.33.18 να στέλνει μηνύματα ηλεκτρονικού ταχυδρομείου, γεγονός που θέτει υπό αμφισβήτηση τη νομιμότητα αυτής της διαδικασίας έγκρισης, είπαν.

Μετά από προσεκτικότερη εξέταση της εγγραφής DNS για τον υποτομέα marthastewart.msn.com, οι ερευνητές βρήκαν ότι ήταν συνδεδεμένος με έναν ακόμη τομέα με αυτήν την εγγραφή CNAME, τον msnmarthastewartsweeps.com. Αυτό σημαίνει ότι «ο υποτομέας κληρονομεί ολόκληρη τη συμπεριφορά του msnmarthastewartsweeps.com, συμπεριλαμβανομένης της πολιτικής του SPF», σύμφωνα με την ανάρτηση.

Περαιτέρω έρευνα διαπίστωσε ότι η πολιτική SPF χρησιμοποιεί μια σύνταξη που επιτρέπει την επέκταση της λίστας IP των εγκεκριμένων αποστολέων χρησιμοποιώντας εγγραφές SPF άλλων τομέων. Όταν έκαναν αναδρομικά ερωτήματα για την εγγραφή SPF, βρήκαν μια λίστα με 17,826 IP, μεταξύ των οποίων 62.244.33.18, επιτρέποντας βασικά την έγκριση όλων αυτών των διευθύνσεων στον υποτομέα MSN.com που είχε παραβιαστεί. Αυτό τελικά επιτρέπει στα email που αποστέλλονται από αυτούς τους τομείς να περνούν και άλλες προστασίες, είπαν οι ερευνητές.

Ο Guardio τελικά παρακολούθησε τον υποτομέα msnmarthastewartsweeps.com σε μια διαφημιστική καμπάνια κληρώσεων πριν από 22 χρόνια. Αν και ο τομέας εγκαταλείφθηκε για 21 χρόνια, καταχωρήθηκε ξανά ιδιωτικά στο Namecheap τον Σεπτέμβριο του 2022.

«Τώρα, ο τομέας ανήκει σε έναν συγκεκριμένο παράγοντα που έχει τον έλεγχο των εγγραφών του DNS και, κατά συνέπεια, ελέγχει και την εγγραφή υποτομέα MSN», έγραψαν οι ερευνητές. «Έτσι, σε αυτήν την περίπτωση, ο ηθοποιός μπορεί να στείλει email σε οποιονδήποτε θέλει σαν να έστειλαν αυτά τα email το msn.com και οι εγκεκριμένοι mailers του».

Ηθοποιός Single Threat

Ο Guardio αποδίδει την εκτεταμένη καμπάνια σε έναν παράγοντα απειλής που παρακολουθείται ως "ResurrecAds", ο οποίος χρησιμοποιεί τη στρατηγική αναβίωσης "νεκρών" τομέων/ή συνδεδεμένων με μεγάλες επωνυμίες για χρήση ως backdoors για την εκμετάλλευση νόμιμων υπηρεσιών και επωνυμιών προς τον απώτερο στόχο του κέρδους ως Οντότητα "Δίκτυο διαφημίσεων".

«Αυτή η προσέγγιση τους δίνει τη δυνατότητα να παρακάμπτουν τα σύγχρονα μέτρα προστασίας του email, επιδεικνύοντας την ικανότητά τους να χειρίζονται το οικοσύστημα ψηφιακής διαφήμισης για κακόβουλα κέρδη», έγραψαν οι ερευνητές.

Ως μέρος της κακόβουλης δραστηριότητάς του, ο ηθοποιός σαρώνει συνεχώς το Διαδίκτυο για ξεχασμένους υποτομείς αξιόπιστων εμπορικών σημάτων για να εντοπίσει ευκαιρίες αγοράς ή διακυβεύματός τους για κακόβουλη διάδοση email, σύμφωνα με τον Guardio.

Σε αυτήν την αποστολή, το ResurrecAds έχει συγκεντρώσει «ένα τεράστιο δίκτυο πειρατεμένων και σκόπιμα αποκτηθέντων περιουσιακών στοιχείων τομέα και IP, υποδεικνύοντας υψηλό επίπεδο οργάνωσης και τεχνικής πολυπλοκότητας στη διατήρηση αυτής της ευρείας κλίμακας λειτουργιών», είπαν οι ερευνητές.

Έλεγχος για συμβιβασμό

Η εκστρατεία καταδεικνύει το αυξανόμενη πολυπλοκότητα κακόβουλων καμπανιών ηλεκτρονικού ταχυδρομείου, οι οποίες υπάρχουν σχεδόν από την αρχή αυτής της μορφής ψηφιακής επικοινωνίας, αλλά συνεχίζουν να εξελίσσονται καθώς οι προστασίες ασφαλείας όπως SPM, DKIM και DMARC εξελίσσονται και εφαρμόζονται ευρύτερα από τους υπερασπιστές.

«Η έρευνά μας αποκάλυψε ότι οι παράγοντες της απειλής δεν αντιδρούν απλώς στα μέτρα ασφαλείας. έχουν πάει προληπτική προσαρμογή και εξελίσσεται για κάποιο χρονικό διάστημα», έγραψαν οι ερευνητές.

Επειδή η επιχείρηση είναι τόσο ανεξέλεγκτη και ακόμα ενεργή, ο Guardio δημιούργησε μια ειδική ιστοσελίδα με ένα εργαλείο, τον Έλεγχο SubdoMailing, για τον έλεγχο του εάν ο εγκαταλελειμμένος τομέας ενός ιστότοπου χρησιμοποιείται στη λειτουργία.

Η σελίδα ενημερώνεται καθημερινά με τους πιο πρόσφατους τομείς που επηρεάζονται από την αεροπειρατεία που βασίζεται σε CNAME και SPF, όπως εντοπίζεται από τα συστήματα του Guardio, και δίνει στους οργανισμούς «όλες τις λεπτομέρειες για γνωστές καταχρήσεις, τον τύπο της αεροπειρατείας και τους σχετικούς υποτομείς και εγγραφές SPF που χρειάζονται της προσοχής», εξήγησαν οι ερευνητές.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/application-security/ebay-vmware-mcafee-sites-hijacked-sprawling-phishing-operation