תוקפים התפשרו על יותר מ-8,000 תת-דומיינים ממותגים ומוסדות ידועים כדי להקים דיוג מסע פרסום ששולח מיילים זדוניים המונים מיליונים בכל יום.
MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel ו-eBay הן בין הישויות שנקלעו ל-"SubdoMailing" - על שם חוקרים ממעבדות Guardio שגילו את הקמפיין, שהוא בלב ליבה של מפעל גדול יותר של פושעי סייבר ופוגע באמון ובאמינות של הארגונים שנפגעו, אמרו.
"המבצע שנחשף כרוך במניפולציה של אלפי תת-דומיינים שנחטפו השייכים או קשורים למותגים גדולים", ראש Guardio Labs-Cybersecurity נתי טל וחוקר האבטחה אולג זייצב כתב בפוסט בפלטפורמת שיתוף התוכן Medium. "מניפולציות DNS מורכבות עבור תחומים אלה אפשרו שליחת כמויות אדירות של ספאמי וסתם הודעות דוא"ל זדוניות, שאושרו באופן כוזב במסווה של מותגים מוכרים בינלאומיים."
מסע הפרסום בנוי בצורה כזו שנראה כי מיילים מגיעים מדומיינים מהימנים ועוקפים את כל הסטנדרטים בתעשייה אמצעי אבטחת דואר אלקטרוני בדרך כלל במקום לחסום הודעות חשודות, כולל Sender Policy Framework (SPF), DKIM, SMTP Server, ו DMARC, אמרו החוקרים.
גילוי תכנית החטיפה
Guardio מפרק בפירוט בפוסט כיצד היא חשפה את הפעולה לאחר שמערכות הגנת האימייל שלה סימנו הודעת דוא"ל לדפוסים חריגים במטא נתונים של דוא"ל. זה שלח את החוקרים לחור ארנב שהוביל בסופו של דבר לשותפות שנגרמה מזמן בין גורו סגנון החיים מרתה סטיוארט ו-MSN.com.
הדוגמה שהובאה הייתה "אימייל ערמומי במיוחד" המתריע בפני מישהו על פעילות חשודה לכאורה בתוך חשבון אחסון בענן שהגיעה לתיבת הדואר הנכנס "הראשית" של המשתמש כשהיה צריך להיות מסומן כדואר זבל.
האימייל - שנוצר כתמונה כדי למנוע מסנני ספאם מבוססי טקסט - מפעיל סדרה של הפניות קליקים דרך דומיינים שונים האופייניים לקמפיינים דיוגים. ההפניות מחדש במקרה זה בודקות את סוג המכשיר והמיקום הגיאוגרפי של הקורבן, ומובילות אותו לתכנים שונים המותאמים למקסום הרווח, כגון מודעות, קישורי שותפים המובילים למצלמות חידונים, אתרי דיוג או אפילו תוכנות זדוניות.
כאשר עקבו אחר עקבותיו של הדואר האלקטרוני חמק מעבר לסריקת אבטחה והגנות, החוקרים מצאו את מה שהם ראו "תת-דומיין קלאסי" תוכנית חטיפה." בעוד שהמייל הגיע מ-62.244.33.18, שרת SMTP בקייב, הוא סומן כאילו הוא נשלח מ- [מוגן בדוא"ל].
זה ייראה על פני השטח לגיטימי, ציינו החוקרים; עם זאת, בתרחיש, תת-דומיין של msn.com אישר לשרת ה-SMTP בכתובת 62.244.33.18 לשלוח מיילים, מה שמעמיד בספק את הלגיטימיות של תהליך האישור הזה, הם אמרו.
לאחר בחינה מדוקדקת יותר של רשומת ה-DNS עבור תת-הדומיין marthastewart.msn.com, החוקרים גילו שהוא מקושר לדומיין נוסף עם רשומת ה-CNAME הזו, msnmarthastewartsweeps.com. המשמעות היא ש"התת-דומיין יורש את כל ההתנהגות של msnmarthastewartsweeps.com, כולל מדיניות ה-SPF שלו", לפי הפוסט.
בדיקה נוספת גילתה שמדיניות SPF משתמשת בתחביר המאפשר להרחיב את רשימת ה-IP של שולחים מאושרים באמצעות רשומות SPF של דומיינים אחרים. כאשר הם שאלו באופן רקורסיבי את רשומת ה-SPF, הם מצאו רשימה של 17,826 כתובות IP, ביניהם 62.244.33.18, מה שמאפשר בעצם אישור של כל הכתובות האלה תחת תת-הדומיין החטוף של MSN.com. זה מאפשר בסופו של דבר לאימיילים שנשלחים מהדומיינים הללו לעבור גם הגנות אחרות, אמרו החוקרים.
Guardio עקבה בסופו של דבר אחר תת-הדומיין msnmarthastewartsweeps.com לקמפיין הגרלות קידום מכירות מלפני 22 שנים. למרות שהדומיין ננטש במשך 21 שנים, הוא נרשם שוב באופן פרטי אצל Namecheap בספטמבר 2022.
"כעת, הדומיין נמצא בבעלות שחקן ספציפי שיש לו שליטה על רשומות ה-DNS שלו, וכתוצאה מכך, שולט גם ברשומת תת-הדומיין של MSN", כתבו החוקרים. "אז, במקרה זה, השחקן יכול לשלוח מיילים לכל מי שהוא רוצה כאילו msn.com והדוארים המאושרים שלהם שלחו את המיילים האלה."
שחקן איום יחיד
Guardio מייחס את מסע הפרסום הנרחב לשחקן איום המלווה כ"ResurrecAds", שמשתמש באסטרטגיה של החייאת דומיינים "מתים" של/או הקשורים למותגים גדולים כדי להשתמש בהם כדלת אחורית לניצול שירותים ומותגים לגיטימיים לקראת המטרה הסופית של רווח כ ישות "רשת מודעות".
"גישה זו מאפשרת להם לעקוף אמצעי הגנה עכשוויים בדוא"ל, ומציגה את מיומנותם לתמרן את המערכת האקולוגית של הפרסום הדיגיטלי למען רווחים מרושעים", כתבו החוקרים.
כחלק מהפעילות הזדונית שלהם, השחקן סורק ללא הרף את האינטרנט אחר תת-דומיינים נשכחים של מותגים מכובדים כדי לזהות הזדמנויות לרכוש או לסכן אותם לצורך הפצת דוא"ל זדונית, לפי Guardio.
במשימה זו, ResurrecAds צברה "רשת עצומה של נכסי דומיין ו-IP שנחטפו ונרכשו במכוון, מה שמצביע על רמה גבוהה של ארגון ותחכום טכני בשמירה על היקף רחב זה של פעולות", אמרו החוקרים.
בודק פשרה
הקמפיין מדגים את תחכום הולך וגדל של קמפיינים זדוניים באימייל, שקיימים כמעט מאז תחילתה של צורה זו של תקשורת דיגיטלית, אך ממשיכים להתפתח ככל שהגנות אבטחה כגון SPM, DKIM ו-DMARC מתפתחות ומיושמות באופן נרחב יותר על ידי מגינים.
"המחקר שלנו גילה שגורמי איומים אינם רק מגיבים לאמצעי אבטחה; הם היו הסתגלות יזומה ומתפתחת במשך זמן מה", כתבו החוקרים.
מכיוון שהמבצע כל כך משתולל ועדיין פעיל, גווארדיו יצר אתר מיוחד עם כלי, SubdoMailing Checker, לבדיקת האם נעשה שימוש בדומיין הנטוש של אתר בפעולה.
העמוד מתעדכן מדי יום עם הדומיינים האחרונים שהושפעו מחטיפת CNAME ו-SPF, כפי שזוהו על ידי המערכות של Guardio, ומספק לארגונים "את כל הפרטים על שימוש לרעה ידוע, סוג החטיפה ותתי-דומיינים רלוונטיים ורשומות SPF הזקוקות לכך. של תשומת לב", הסבירו החוקרים.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/application-security/ebay-vmware-mcafee-sites-hijacked-sprawling-phishing-operation
