I ricercatori Guardio Labs hanno scoperto una vasta campagna di hijacking di sottodomini, denominata “SubdoMailing”, che ha compromesso già oltre 8.000 domini di stimati marchi e istituzioni, tra cui MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel, eBay e altri. Questa attività dannosa sfrutta la fiducia associata a questi domini per far circolare milioni di email di spam e phishing dannose ogni giorno, utilizzando astutamente la loro credibilità e le risorse rubate per oltrepassare le misure di sicurezza.
Guardio Labs ha identificato modelli insoliti nei metadati delle e-mail, in particolare riguardanti i server SMTP e la loro autenticazione come mittenti legittimi. Ciò ha dato il via a un viaggio investigativo che ha portato al funzionamento interno del protocollo SMTP, alla caccia al dominio, allo sviluppo di strumenti di scansione per i record DNS e infine alla scoperta di un’operazione di hijacking di sottodomini vasta e senza precedenti.
L’operazione scoperta prevede la manipolazione di migliaia di sottodomini hijacked appartenenti o affiliati a grandi marchi. Complesse manipolazioni DNS per questi domini hanno consentito l’invio di grandi quantità di email di spam e semplicemente dannose, falsamente autorizzate con il pretesto di marchi riconosciuti a livello internazionale.
Alcune email riguardano avvisi di sicurezza che ingannano gli utenti, chiedendo loro di effettuare un controllo inserendo le credenziali di login a Facebook, iCloud, Amazon e altri servizi. Interagire con qualsiasi parte di questa email attiva una serie di reindirizzamenti di clic attraverso diversi domini, portando a contenuti su misura per massimizzare il profitto degli autori, che secondo Guardio Labs sono il gruppo ResurrecAds, il quale ha allestito una complessa architettura di distribuzione, sfruttando domini e sottodomini legittimi abbandonati.
La ricerca di Guardio Labs ha rivelato oltre 8.000 domini caduti vittime di questo SubdoMailing, con un numero che cresce di centinaia ogni giorno, tutti coinvolti in milioni di e-mail dannose inviate quotidianamente.
Per la campagna SubdoMailing, sono stati utilizzati quasi 22.000 server SMTP per inviare oltre 5 milioni di email di spam al giorno. Guardio Labs ha anche reso disponibile una pagina dedicata per verificare se un dominio è stato compromesso.
