Más de 8000 dominios y 13000 subdominios pertenecientes a grandes marcas e instituciones como ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Swatch, Symantec, The Economist, UNICEF y VMware, entre otras, han sido secuestrados como parte de una arquitectura sofisticada para la proliferación de spam y la monetización de clics, según Guardio Labs.
La campaña, denominada SubdoMailing, ha estado activa desde al menos septiembre de 2022 y es atribuida a un actor de amenazas llamado ResurrecAds, conocido por resucitar dominios inactivos o afiliados a grandes marcas para manipular el ecosistema de publicidad digital con fines maliciosos. Este actor maneja una infraestructura extensa que incluye diversos hosts, servidores SMTP, direcciones IP e incluso conexiones privadas de ISP.
Los correos electrónicos van desde alertas falsas de entrega de paquetes hasta intentos directos de phishing para obtener credenciales de cuenta.
En particular, la campaña aprovecha la confianza asociada con estos dominios para circular spam y correos electrónicos de phishing maliciosos, utilizando astutamente su credibilidad y recursos robados para eludir medidas de seguridad.
La campaña destaca por su capacidad para eludir bloqueos de seguridad estándar, ya que el cuerpo completo de los correos está concebido como una imagen para evadir filtros de spam basados en texto, y al hacer clic se inician redirecciones a través de diferentes dominios.
«Estas redirecciones verifican el tipo de dispositivo y la ubicación geográfica, llevando a contenido adaptado para maximizar las ganancias. Esto puede variar desde anuncios molestos o enlaces de afiliados hasta tácticas más engañosas como estafas de cuestionarios, sitios de phishing o incluso descargas de malware con el objetivo de estafarte directamente.» explican los investigadores de Guardio Labs.
Un aspecto crucial es que estos correos pueden eludir el Sender Policy Framework (SPF), un método de autenticación de correo electrónico diseñado para prevenir la suplantación, así como pasar las verificaciones de DomainKeys Identified Mail (DKIM) y Domain-based Message Authentication, Reporting and Conformance (DMARC) que ayudan a evitar que los mensajes sean marcados como spam.
Fuente: Una al día Hispasec