Uma agência de cibersegurança revelou a existência de uma operação maliciosa coordenada que sequestrou o controle de mais de 8.000 domínios e 13.000 subdomínios confiáveis pertencentes a empresas e instituições legítimas. A rede comprometida posteriormente disseminou grandes volumes de spam e emails maliciosos, contornando com sucesso os filtros de segurança usados por grandes provedores de webmail.
Segundo a Guardio Labs, marcas e instituições renomadas, como MSN, VMware, McAfee, The Economist, Universidade Cornell, CBS, Marvel, Swatch, Symantec, ACLU, PWC, Better Business Bureau, Unicef e eBay, entre outras, tiveram seus sites sequestrados no ataque. Batizada de “SubdoMailing”, a operação exigiu investimentos significativos e supostamente gerou “receita substancial” para os cibercriminosos.
Os pesquisadores da Guardio Labs, Nati Tal e Oleg Zaytsev, revelaram que os emails maliciosos continham botões incorporados que ocultavam links maliciosos. Clicar nesses botões levava os usuários a uma série de redirecionamentos em diferentes domínios, permitindo que os invasores gerassem receita por meio de “malvertising”, ou anúncios fraudulentos.
Leia também: LockBit volta a atuar após interrupção por operação internacional
“Esses redirecionamentos verificam o tipo de dispositivo e a localização geográfica do usuário, levando a conteúdo personalizado para maximizar o lucro”, disseram os pesquisadores. No entanto, nem todos os redirecionamentos eram para domínios benignos para exibições de anúncios fraudulentos, alguns links também direcionavam os usuários para sites de phishing. Em alguns casos, os sites baixavam malware com o objetivo de roubar dinheiro dos usuários.
A campanha, supostamente, está em operação desde pelo menos 2022 e se aproveitou das políticas de email SPF e DKIM para empurrar milhões de emails de phishing por gateways de email seguros todos os dias. Os invasores também projetaram emails inteiros como imagens para evadir filtros de spam baseados em texto. O fato de originarem de domínios confiáveis também ajudou a contornar a detecção.
Os pesquisadores acreditam que os ataques foram realizados por uma rede de anúncios maliciosa chamada “ResurrecAds”, que emprega “táticas obscuras” para gerar receita. Uma dessas táticas é ressuscitar domínios inativos associados a grandes marcas e usá-los como backdoors para explorar serviços e marcas legítimos.
Para ajudar administradores de domínios e proprietários de sites a verificar seus sites para qualquer vestígio de abuso, a Guardio criou uma ferramenta de verificação SubdoMailing. Com esta ferramenta, os administradores podem obter informações relevantes sobre como corrigir o problema caso seus domínios tenham sido comprometidos e prevenir tais ataques no futuro.