İmkansız gibi görünen bir eylemle, her gün milyonlarca e-posta gönderen kötü niyetli dolandırıcılık kampanyaları için tehdit aktörleri tarafından yaklaşık 8000 alan adının güvenliğinin ihlal edildiği keşfedildi.
Bu alan adlarının tümü MSN, VMware, McAfee, The Economist, Cornell Üniversitesi, CBS, Marvel, eBay ve diğerleri gibi en saygın marka ve kurumlara aitti.
Bu tehdit faaliyeti, tüm bu e-postaların, büyük e-posta sağlayıcılarının güvenlik kontrolleri sırasında bile güvenlik önlemlerini atladığı ve kullanıcıların gelen kutularına ulaştığı “Alt Alan Postası” olarak adlandırıldı.
Kötü amaçlı yazılım dosyasını, ağı, modülü ve kayıt defteri etkinliğini şu şekilde analiz edebilirsiniz: ANY.RUN kötü amaçlı yazılım korumalı alanıve Tehdit İstihbaratı Araması bu, işletim sistemiyle doğrudan tarayıcıdan etkileşim kurmanıza olanak tanır.
Bu etkinlikle ilişkili güvenliği ihlal edilmiş alan adlarının sayısı hâlâ her gün 100’lerce artıyor.
Hackerlar 13.000 Alt Alan Adını Kötüye Kullanıyor
Guardio laboratuvarlarının raporuna göre bu etkinlik, özellikle SMTP sunucularında e-posta meta verilerindeki olağandışı desenler nedeniyle tespit edildi.
Bu etkinliğin arkasındaki tehdit aktörleri, karmaşık DNS manipülasyonları kullandı ve bu da saygın markalara ait çeşitli alanların ele geçirilmesiyle sonuçlandı.
Bu kimlik avı kampanyasıyla ilgili e-postalardan birinin araştırılması, tehdit aktörlerinin e-postanın gövdesinde metin yerine akıllıca resimler kullandığını ve bunun da metin tabanlı spam filtrelerini aştığını ortaya çıkardı.
E-postanın herhangi bir bölgesine tıklamak, kullanıcıları, cihaz türünü ve coğrafi konumu bulmak, yanıltıcı reklamlar, kimlik avı siteleri görüntülemek ve hatta kötü amaçlı yazılım dağıtmak için kullanıldığı tespit edilen birkaç farklı alan adına yönlendiriyordu.
Daha detaylı analiz edildiğinde, e-postaların başlıkları, örnek e-postanın Kiev’deki bir SMTP sunucusundan geldiğine ve işaretlendiğine dair ilginç bilgiler sağladı. [email protected].
Büyük markaların çoğu, bu hizmet sağlayıcıların kendi adlarına e-posta göndermesine olanak tanıyan toplu posta hizmetlerini kullanıyor.
İlginç Bölüm
Marthastewart.msn.com DNS kaydının derinliklerine inildiğinde, bu etki alanına bağlı başka bir CNAME kaydının kullanıldığı keşfedildi.
Ayrıca msnmarthastewartsweeps.com’un SPF kaydı, onaylı gönderenlerin IP listesinin genişletilmesine olanak tanıyan bir include: başlığıyla birlikte aşağıdaki bilgileri gösterdi.
Bu, güvenliği ihlal edilen bu alan adlarının tüm SPF kayıtlarının birden fazla IP adresi içerdiğini açıkça ortaya koydu.
Tekrar tekrar sorgulandığında, tehdit aktörlerinin güvenliği ihlal edilmiş bir alan adı altında kullandığı 17826’dan fazla IP adresi olduğu ortaya çıktı.
Kısa bir bilgi eklemek gerekirse, tehdit aktörleri, büyük markalar tarafından kullanılan CNAME kayıtlarının bulunduğu terk edilmiş alanları kullanıyor ve bu tehdit aktörleri tarafından yeniden özel olarak kayıt altına alınıyor.
Bu alan adları izlenmediği için, tehdit aktörleri bu alan adlarını başarılı bir şekilde manipüle ederek saygın bir marka izlenimi altında dünya çapında binlerce kullanıcıya milyonlarca spam ve kimlik avı e-postası gönderdi.
Guardio Labs’taki araştırmacılar, bu tür büyük alan adı ihlallerini önlemek amacıyla, alan sahiplerinin, güvenliği ihlal edilen alan adları üzerindeki kontrolünü yeniden kazanmaları için “SubdoMailing” adında yeni bir web sitesi yayınladı.
Truva atları, fidye yazılımları, casus yazılımlar, rootkitler, solucanlar ve sıfır gün açıklarından yararlanmalar dahil olmak üzere kötü amaçlı yazılımları engelleyebilirsiniz. Perimeter81 kötü amaçlı yazılım koruması. Hepsi son derece zararlıdır, hasara yol açabilir ve ağınıza zarar verebilir.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn’de takip edin & heyecan.