I ricercatori di Guardio Labs hanno scoperto una massiccia campagna di spam, denominata SubdoMailing, che sfrutta oltre 8.000 domini e oltre 13.000 sottodomini legittimi per inviare email di spam. L’obiettivo dei cybercriminali è ottenere profitti tramite truffe e pubblicità fasulle.
Campagna di spam tramite domini abbandonati
Gli esperti di Guardio Labs hanno identificato strani pattern nei metadati delle email relativi a server SMTP, scoprendo una vasta operazione di “subdomain hijacking“. I cybercriminali hanno abusato dei protocolli SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail), and DMARC (Domain-based Message Authentication, Reporting, and Conformance) per inviare milioni di email di spam, aggirando i filtri dei servizi.
Dato che provengono da domini e sottodomini legittimi, le email non vengono bloccate. Questi domini e sottodomini appartenevano a brand noti, come MSN, VMware, McAfee, CBS, Unicef, Symantec, eBay e Marvel, ma sono stati abbandonati. I cybercriminali hanno registrato i domini e usato varie tecniche per attuare la campagna di spam. I dettagli sono stati pubblicati su Medium.
Alcune email sono avvisi di sicurezza che ingannano gli utenti. Viene infatti chiesto di effettuare un controllo inserendo le credenziali di login a Facebook, iCloud, Amazon e altri servizi. L’ignara vittima consegna quindi il suo account ai cybercriminali. La maggioranza di esse sono utilizzate per ottenere profitti con truffe e malvertising.
Secondo Guardio Labs, gli autori sono il gruppo ResurrecAds che ha allestito una complessa architettura di distribuzione, sfruttando domini e sottodomini legittimi abbandonati. Per la campagna SubdoMailing sono stati utilizzati quasi 22.000 server SMTP per inviare oltre 5 milioni di email di spam al giorno. Attraverso una pagina dedicata è possibile verificare se il dominio è stato compromesso.