在线安全公司 Guardio 周一报道称,数千个域名(其中许多曾经属于大公司)被滥用,使数百万封电子邮件通过了垃圾邮件过滤器。
该网络安全公司的研究人员发现了一场重大活动,他们将其称为SubdoMailing,并将其归因于名为 ResurrecAds 的威胁行为者。
Guardio 报告称,识别出大约 8,800 个被劫持的域名(特别是超过 13,000 个相关子域名),这些域名每天被用来发送大约 500 万封电子邮件。被滥用的域名数量每天都在以数百个的速度增长。
该公司已发现之前属于 MSN、CBS News、New York City、Philips、Cornell University、VMware、Swatch、Scotiabank 和 McAfee 的被滥用域名。
至少自 2022 年末以来,ResurrecAds 一直在寻找长期被遗忘的子域,这些子域具有关联的 DNS 记录,例如 CNAME(另一个域的别名)或 SPF(列出所有有权从某个域发送电子邮件的服务器,以防止欺骗)。
威胁行为者可以注册该域,然后滥用该域和现有的 DNS 记录来发送电子邮件,与常规垃圾邮件活动相比,这些电子邮件更有可能通过垃圾邮件过滤器。
作为 SubdoMailing 活动的一部分发送的电子邮件旨在诱骗用户与消息进行交互,这会引导他们通过一系列重定向来检查设备类型和位置,最终将受害者引导至诈骗或网络钓鱼网站。
Guardio 描述的一个具体示例涉及子域“marthastewart.msn.com”,微软在二十多年前曾使用该子域进行玛莎·斯图尔特抽奖活动。
ResurrecAds 似乎正在运营一个“广告网络”,其目标是为其客户产生尽可能多的点击次数。
瓜迪奥说:“这个[威胁行为者]似乎正在系统地扫描互联网上的易受攻击的域,识别机会,购买域,保护主机和IP地址,然后精心策划正在进行的电子邮件传播活动。” “这涉及一个由被劫持和故意获取的域名和知识产权资产组成的庞大网络,表明在维持如此广泛的运营规模方面具有高水平的组织和技术复杂性。”
该网络安全公司发布了一款在线工具,可用于检查域是否在 SubdoMailers 活动中受到损害和滥用。
“业界对可信域抱有一种错误的安全感,因为它们从来都不是完全安全的。在 SlashNext,我们看到数以万计的恶意子域隐藏在受信任的域中。目前,我们的威胁源中有 149,345 个实时网络钓鱼威胁 URL,这些 URL 位于合法、可信的域上。”反网络钓鱼公司 SlashNext 的首席执行官帕特里克·哈尔 (Patrick Harr) 告诉SecurityWeek。
“虽然 DMARC、DKIM 和 SPF 很重要,但它无法检测到这些威胁。在安全堆栈中采用计算机视觉等人工智能技术至关重要,它可以超越域声誉来检测隐藏在合法网站上的威胁。”Harr 补充道。
原文始发于微信公众号(祺印说信安):大公司曾经拥有的域名帮助数百万封垃圾邮件绕过安全
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论