Více než 8 000 domén a 13 000 subdomén patřících legitimním značkám a institucím bylo uneseno jako součást sofistikované distribuční architektury pro šíření spamu a monetizaci kliknutí.
Guardio Labs sleduje koordinovanou škodlivou aktivitu, která pod názvem SubdoMailing probíhá minimálně od září 2022. E-maily se pohybují od „upozornění na doručení padělaných balíků až po přímý phishing pro přihlašovací údaje k účtu“.
Izraelská bezpečnostní společnost připsala kampaň hrozbě, kterou nazývá ResurrecAds, která je známá tím, že resuscituje mrtvé domény velkých značek s konečným cílem manipulovat ekosystém digitální reklamy za účelem podvodných zisků.
„ResurrecAds spravuje rozsáhlou infrastrukturu zahrnující širokou škálu hostitelů, SMTP serverů, IP adres a dokonce i soukromých rezidenčních připojení ISP spolu s mnoha dalšími vlastněnými doménovými jmény,“ uvedli bezpečnostní výzkumníci Nati Tal a Oleg Zaytsev ve zprávě.
Kampaň zejména „využívá důvěru spojenou s těmito doménami k rozšiřování spamu a škodlivých phishingových e-mailů po milionech každý den, přičemž lstivě využívá jejich důvěryhodnost a ukradené zdroje k obejití bezpečnostních opatření“.
Tyto subdomény patří nebo jsou přidruženy k velkým značkám a organizacím, jako jsou ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Swatch, Symantec, The Economist, UNICEF a VMware.
Kampaň je pozoruhodná svou schopností obejít standardní bezpečnostní bloky, přičemž celé tělo je koncipováno jako obrázek, který se vyhýbá textovým spamovým filtrům klikáním, které spouští řadu přesměrování přes různé domény.
Zdroj: thehackernews.com
Obrázek: Guardio Labs