Una campaña masiva de fraude publicitario llamada “SubdoMailing” utiliza más de 8.000 dominios de Internet legítimos y 13.000 subdominios para enviar hasta cinco millones de correos electrónicos por día para generar ingresos a través de estafas y publicidad maliciosa.
La campaña se llama “SubdoMailing”, ya que los actores de amenazas secuestran subdominios abandonados y dominios que pertenecen a empresas conocidas para enviar sus correos electrónicos maliciosos.
Como estos dominios pertenecen a empresas confiables, obtienen el beneficio de poder eludir los filtros de spam y, en algunos casos, aprovechar las políticas de correo electrónico SPF y DKIM configuradas que indican a las puertas de enlace de correo electrónico seguras que los correos electrónicos son legítimos y no spam.
Algunas marcas notables que fueron víctimas de esta campaña de secuestro de dominio incluyen MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel, y eBay.
Estas reconocidas marcas dan legitimidad involuntariamente a los correos electrónicos fraudulentos y los ayudan a pasar los filtros de seguridad.
Al hacer clic en los botones integrados en los correos electrónicos, los usuarios pasan por una serie de redirecciones, lo que genera ingresos para los actores de la amenaza a través de visualizaciones de anuncios fraudulentos. En última instancia, el usuario llega a obsequios falsos, análisis de seguridad, encuestas o estafas de afiliados.
Los investigadores de Guardio Labs, Nati Tal y Oleg Zaytsev, descubrieron la campaña de fraude publicitario e informaron que la operación está en marcha desde 2022.
Secuestro de Dominios para Spam
La investigación de Guardio Labs comenzó con la detección de patrones inusuales en los metadatos del correo electrónico, lo que llevó al descubrimiento de una vasta operación de secuestro de subdominios.
Un estudio de caso de un correo electrónico autorizado falsamente por MSN muestra la variedad de tácticas utilizadas por los atacantes para hacer que sus correos electrónicos parezcan legítimos y evadir bloqueos, incluido el abuso de las comprobaciones SPF (Marco de políticas del remitente), DKIM (Correo identificado con claves de dominio) y DMARC (Dominio identificado). protocolos basados en autenticación de mensajes, informes y conformidad).
Estas políticas de correo electrónico se utilizan para demostrar a las puertas de enlace de correo electrónico seguras que el remitente de un correo electrónico es legítimo y no debe tratarse como spam.
La campaña SubdoMailing apunta a dominios y subdominios de organizaciones acreditadas, intentando secuestrarlos principalmente mediante el secuestro de CNAME y la explotación de registros SPF.
En los ataques CNAME, los actores de amenazas buscan subdominios de marcas acreditadas con registros CNAME que apunten a dominios externos que ya no están registrados. Luego, ellos mismos registran estos dominios a través del servicio NameCheap.
El segundo método implica examinar los registros SPF de los dominios de destino que utilizan la opción de configuración “incluir:” que apunta a dominios externos que ya no están registrados.
La opción de inclusión SPF se utiliza para importar remitentes de correo electrónico permitidos desde el dominio externo, que ahora está bajo el control del actor de la amenaza.
Los atacantes registran estos dominios y luego cambian sus registros SPF para autorizar sus propios servidores de correo electrónico maliciosos. Esto hace que los correos electrónicos del atacante parezcan provenir legítimamente de un dominio confiable, como MSN.
La operación generalmente aprovecha los dominios secuestrados para enviar correos electrónicos no deseados y de phishing, alojar páginas de phishing o alojar contenido publicitario engañoso.
Una Campaña Masiva
Guardio Labs atribuye la campaña a un actor de amenazas al que llaman “ResurrecAds”, que escanea sistemáticamente la web en busca de dominios que puedan ser secuestrados, asegurando nuevos hosts y direcciones IP y realizando compras de dominios específicas.
El actor de amenazas actualiza constantemente una vasta red de dominios, servidores SMTP y direcciones IP secuestrados y adquiridos para mantener la escala y la complejidad de la operación.
Guardio Labs afirma que SubdoMailing utiliza casi 22.000 IP únicas, mil de las cuales parecen ser servidores proxy residenciales.
Actualmente, la campaña opera a través de servidores SMTP distribuidos globalmente configurados para difundir correos electrónicos fraudulentos a través de una red masiva de 8.000 dominios y 13.000 subdominios.
El número de correos electrónicos que llegan a los objetivos supera los 5.000.000 diarios. Si bien es imposible apreciar el beneficio que obtiene el atacante con esto, la escala de la operación y el volumen de los correos electrónicos fraudulentos son innegablemente enormes.
Guardio Labs ha creado un sitio de verificación SubdoMailing que puede permitir a los propietarios de dominios detectar si se está abusando de su marca y tomar medidas para detenerlo o prevenirlo.
Relacionado
15.000 Sitios WordPress pirateados por campaña masiva de envenenamiento SEO
Piratas informáticos están llevando a cabo una campaña masiva de optimización de motores de búsqueda (SEO) de sombrero negro, comprometiendo casi a 15.000 sitios web para redirigir a los visitantes a foros de discusión de preguntas y respuestas falsos. Los ataques fueron detectados por primera vez por Sucuri, quien dice que cada sitio comprometido contiene aproximadamente 20.000 archivos utilizados como parte de la campaña de spam ¡SEGUIR LEYENDO!
30.000 Organizaciones hackeadas por un ataque a través de Microsoft Exchange Server
En los últimos días, al menos 30.000 organizaciones en los Estados Unidos, incluida una cantidad significativa de pequeñas empresas, pueblos, ciudades y gobiernos locales; han sido pirateadas por una unidad de ciberespionaje china inusualmente agresiva que se enfoca en robar correos electrónicos de organizaciones. El grupo de espionaje está explotando cuatro fallas recientemente descubiertas en el software de correo electrónico de Microsoft Exchange Server y ha ¡SEGUIR LEYENDO!
45K de Servidores Jenkins Expuestos a Ataques de Ejecución Remota de código (RCE) mediante Exploits
En hallazgos recientes, los investigadores de seguridad han descubierto aproximadamente 45,000 instancias de Jenkins expuestas en línea, susceptibles a CVE-2024-23897. Esta vulnerabilidad crítica de ejecución remota de código (RCE) ha generado preocupaciones debido a la existencia de múltiples exploits de prueba de concepto (PoC) públicos. ¿Qué es Jenkins? Jenkins es un destacado servidor de automatización de código abierto para Integración Continua/Despliegue Continuo (CI/CD). Los desarrolladores utilizan ¡SEGUIR LEYENDO!
5 Pasos para Mejorar la Seguridad en Microsoft Teams
En un mundo donde la comunicación digital es fundamental para la productividad empresarial, las aplicaciones de chat SaaS como Microsoft Teams, se han convertido en una herramienta indispensable. Sin embargo, con esta dependencia creciente también vienen riesgos significativos de seguridad cibernética que a menudo son subestimados. En un reciente ataque que tuvo lugar en Microsoft Teams, los atacantes aprovecharon la plataforma para enviar más de 1.000 ¡SEGUIR LEYENDO!
9 Amenazas Clave para la Seguridad Informática en 2024
Los ataques a la cadena de suministros, las campañas de desinformación, el malware móvil y las filtraciones de datos a gran escala son solo algunas de las grandes amenazas a tener en cuenta para el próximo año. En 2021, los ciberdelincuentes se aprovecharon de la pandemia del coronavirus, el cambio en curso hacia el trabajo remoto y la vulnerabilidad de las organizaciones al ransomware. En 2022, ¡SEGUIR LEYENDO!
¿Qué significa AAA? Autentificación, autorización y contabilidad
La autenticación, autorización y contabilidad (AAA) es un sistema para rastrear las actividades de los usuarios en una red basada en IP y controlar su acceso a los recursos de la red. AAA a menudo se implementa como un servidor dedicado. Es un marco utilizado para controlar y rastrear el acceso dentro de una red informática. Este término también se conoce como el Protocolo AAA y ¡SEGUIR LEYENDO!
¿Qué significa ABAC? Control de acceso basado en atributos
El control de acceso basado en atributos (ABAC) es un enfoque diferente al control de acceso en el que los derechos de acceso se otorgan mediante el uso de políticas compuestas por atributos que trabajan juntos. ABAC utiliza atributos como bloques de construcción para definir reglas de control de acceso y solicitudes de acceso. Esto se hace a través de un lenguaje estructurado llamado Lenguaje de ¡SEGUIR LEYENDO!
Abusan de la Nerramienta “Comando no Encontrado” en Ubuntu para Propagar Malware
Una falla lógica entre el sistema de sugerencia de paquetes de 'comando no encontrado' de Ubuntu y el repositorio de paquetes instantáneos podría permitir a los atacantes promocionar paquetes de Linux maliciosos entre usuarios desprevenidos. El problema surge de la capacidad de la utilidad para sugerir paquetes instantáneos para la instalación cuando faltan sin un mecanismo de validación para garantizar que los paquetes sean auténticos y ¡SEGUIR LEYENDO!
¿Qué es acceso? Desde el punto de vista de la seguridad informática
El acceso, en el contexto de la seguridad, es el privilegio o permiso asignado para utilizar datos o recursos informáticos de alguna manera. Por ejemplo, un usuario puede tener acceso de lectura a un archivo, pero no podrá editarlo ni eliminarlo. El acceso también es la cantidad de admisión permitida a cualquier entidad determinada; o simplemente puede significar el permiso de admisión. El acceso es importante ¡SEGUIR LEYENDO!
¿Qué es ACE? Entrada de control de acceso en seguridad informática
Las entradas de control de acceso (ACE) son entradas en una lista de control de acceso que contiene información que describe los derechos de acceso relacionados con un identificador de seguridad o usuario en particular. Cada entrada de control de acceso contiene una ID que identifica al individuo o al grupo de sujetos. Una lista de control de acceso puede tener varias entradas de control de ¡SEGUIR LEYENDO!
Acer recibió un supuesto ataque de ransomware que le exigía 50 millones de dólares
Según los últimos informes, la compañía Acer, se habría visto afectada por un ataque del ransomware REvil y sus atacantes "aparentemente" habrían exigido 50 millones de dólares como rescate. La banda de ransomware supuestamente violó la seguridad de Acer y compartió algunas imágenes de archivos presuntamente robados, como prueba de haber accedido al sitio interno de Acer. Las imágenes filtradas, aparentemente, incluían documentos de hojas de ¡SEGUIR LEYENDO!
