Спамеры не сидят на месте и постоянно совершенствуются. Масштабная мошенническая компания SubdoMailing использовала более 8 тысяч заброшенных доменов

В сети появилась информация о новой масштабной мошеннической компании SubdoMailing затрагивающую более 8 тысяч различных пустующих доменов, а также около 13 тысяч поддоменов для создания рассылки спам писем. В данный момент фиксируется около 5 млн. электронных сообщений, рассылаемых ежедневно, а за это мошенники получают доход, в том числе за распространение опасной информации и рекламных продуктов. Мошенники начали активно работать с 2022 года, когда стали появляться первые пустующие захваченные сайты, с которых в дальнейшем стала производиться рассылка электронных писем, содержащих вредоносную информацию. Отчасти рассылка производится с адресов, которые давно зарегистрированы и имеют неплохую репутацию, поэтому мошенникам получается обходить SPAM-фильтры компаний. А многие и вовсе пользуются привилегиями настроенных политик SPF и DKIM, когда шлюзы пропускают письма, которые имеют пометку не спам. Некоторые сайты могут быть переделаны под распространение фишинговых сайтов и вредоносного контента от спамеров.

Уже сейчас от SubdoMailing пострадали довольно крупные европейские и американские компании. И не всегда жертвами становятся организации финансовой сферы, к примеру, были затронуты домены CBS, NYC или даже eBay.

В полученных письмах от мошенников размещается кнопка, при переходе по которой предлагается получение приза за регистрацию или загрузка различного полезного программного обеспечения. В основном из-за своей неопытности многие пытаются перейти по этим ссылкам, но при переходе происходит целый ряд перенаправлений между сайтами и пользователь либо не попадает на нужную страницу, либо переходит на фишинговый сайт. При этом ему преподносится различная реклама, за которую мошенники также получают деньги за показы.

Мошенники не придерживаются одной тактики получения результата и пробуют различные способы, чтобы обойти встроенные защиты.

При изучении основных способов обхода защиты выделяются два, при которых мошенники подбирают проверенные домены с именами компаний. В некоторых случаях мошенники могут самостоятельно регистрировать домены, имеющие созвучные названия и имена, используя NameCheap.

При использовании второго метода применяются опции «include:», когда SPF-запись указывает на домен, который больше не имеет регистрации. Таким образом, мошенники используют настройки SPF include для отправления SPAM из внешних доменов. Перерегистрируя под себя проверенные адреса и подменяя SPF-записи для авторизации собственных спам серверов, мошенники перенаправляют письма с уже надежных доменов.

Сервис Guardio Labs ассоциирует SubdoMailing с хакерской группировкой ResurrecAds. Именно они производят постоянный мониторинг интернета на наличие брошенных доменов, которые могут вызвать доверие, а также могут оформлять новые хосты и IP адреса. Отмечается, что в день добавляется по 70 и более новых доменов или почтовых серверов, чтобы постоянно наращивать группировку и увеличивать мощности атак. По последним данным, в состав группировки входит около 22 тысяч сайтов, IP-адресов, доменов и хостов, которые разбросаны по всему миру. Имеют уникальные проверенные названия и вызывают доверие.

Источник: https://labs.guard.io