Meşru markalara ve kurumlara ait 8.000’den fazla alt alan adı, spam yayılımı ve tıklamalardan para kazanmaya yönelik karmaşık bir dağıtım mimarisinin parçası olarak ele geçirildi.
Guardio Labs, en az Eylül 2022’den bu yana devam eden koordineli kötü amaçlı etkinliği SubdoMailing adı altında takip ediyor. E-postalar, “sahte paket teslimatı uyarılarından, hesap kimlik bilgileri için doğrudan kimlik avına kadar” çeşitlilik gösteriyor.
İsrail güvenlik şirketi kampanyayı, adını verdiği bir tehdit aktörüne bağladı DirilişReklamlarıDijital reklamcılık ekosistemini hain kazançlar için manipüle etme amacıyla büyük markaların veya onlarla bağlantılı ölü alanları yeniden canlandırdığı biliniyor.
Güvenlik araştırmacıları Nati Tal ve Oleg Zaytsev, The ile paylaşılan bir raporda “‘ResurrecAds’, çok çeşitli ana bilgisayarları, SMTP sunucularını, IP adreslerini ve hatta özel konut ISP bağlantılarının yanı sıra birçok ek alan adını kapsayan kapsamlı bir altyapıyı yönetiyor” dedi. Hacker Haberleri.
Özellikle, kampanya “güvenlik önlemlerini aşmak için bunların güvenilirliğini ve çalınan kaynaklarını kurnazca kullanarak, her gün milyonlarca spam ve kötü amaçlı kimlik avı e-postasını dolaştırmak için bu alan adlarıyla ilişkili güvenden yararlanıyor.”
Bu alt alanlar ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Symantec, The Economist, UNICEF ve VMware gibi büyük marka ve kuruluşlara aittir veya bunlarla bağlantılıdır.
Kampanya, standart güvenlik bloklarını aşma yeteneğiyle dikkat çekiyor; tüm gövde, metin tabanlı spam filtrelerinden kaçmak için bir resim olarak tasarlandı ve tıklandığında farklı alanlar üzerinden bir dizi yönlendirme başlatılıyor.
Araştırmacılar, “Bu yönlendirmeler cihaz türünüzü ve coğrafi konumunuzu kontrol ederek kârı en üst düzeye çıkaracak şekilde uyarlanmış içeriğe yönlendiriyor” diye açıkladı.
“Bu, sinir bozucu bir reklam veya bağlı kuruluş bağlantısından, bilgi yarışması dolandırıcılıkları, kimlik avı siteleri veya hatta paranızı daha doğrudan dolandırmayı amaçlayan kötü amaçlı yazılım indirmeleri gibi daha aldatıcı taktiklere kadar herhangi bir şey olabilir.”
Bu e-postaların bir diğer önemli yönü de, bir posta sunucusunun belirli bir alan adı için e-posta gönderme yetkisine sahip olmasını sağlayarak sahteciliği önlemek üzere tasarlanmış bir e-posta kimlik doğrulama yöntemi olan Sender Policy Framework’ü (SPF) atlatabilmeleridir.
E-postalar ayrıca, mesajların spam olarak işaretlenmesini önlemeye yardımcı olan Etki Alanı Anahtarları Tanımlanmış Posta (DKIM) ve Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uygunluk (DMARC) denetimlerinden de geçtiğinden, bu yalnızca SPF değildir.
Guardio tarafından vurgulanan yanıltıcı bulut depolama uyarı e-postasının bir örneğinde, mesajın Kiev’deki bir SMTP sunucusundan kaynaklandığı ancak Return_UlKvw@marthastewart.msn.com adresinden gönderildiği şeklinde işaretlendiği görülüyor.
Marthastewart.msn.com’un DNS kaydının daha yakından incelenmesi, alt alan adının başka bir alan adına bağlı olduğunu ortaya çıkardı (msnmarthastewartsweeps)[.]com) daha önce reklam teknolojisi şirketleri tarafından üçüncü taraf çerez engellemesini aşmak için silah olarak kullanılan bir takma ad tekniği olan CNAME kaydıyla.
“Bu, alt etki alanının msnmarthastewartsweeps’in tüm davranışını devraldığı anlamına gelir[.]com’da SPF politikası da dahil” dedi araştırmacılar. “Bu durumda oyuncu dilediği kişiye msn gibi e-posta gönderebilir[.]com ve onların onaylı postacıları bu e-postaları gönderdi!”
Burada her iki alanın da 21 yıl boyunca terk edilmiş bir durumda bırakılmadan önce 2001 yılında bir noktada meşru ve kısa süreliğine aktif olduğunu belirtmekte fayda var. Eylül 2022’de msnmarthastewartsweeps’e kadar değildi[.]com, Namecheap’e özel olarak kayıtlıydı.
Diğer taraftan ele geçirme planı, tehdit aktörlerinin, terk edilmiş alanların CNAME kayıtlarını sarkıtarak uzun süredir unutulmuş alt alan adlarını sürekli olarak taramasını ve daha sonra bunların kontrolünü ele geçirmek için bunları kaydetmesini gerektirmektedir.
CNAME’in ele geçirilmesi, bu tür tanınmış alt alan adlarının, kullanıcıların kimlik bilgilerini toplamak üzere tasarlanmış sahte kimlik avı açılış sayfalarını barındıracak şekilde ele geçirilmesi durumunda da ciddi sonuçlara yol açabilir. Bununla birlikte, ele geçirilen alt alan adlarından herhangi birinin bu amaçla kullanıldığına dair hiçbir kanıt bulunmuyor.
Guardio ayrıca, bilinen bir alanın DNS SPF kaydının, geçersiz e-posta veya pazarlamayla ilgili hizmetlerle ilişkili terk edilmiş alanları tuttuğu ve böylece saldırganların bu tür alan adlarının sahipliğini ele geçirmesine, kendi IP adreslerini kayda eklemesine ve sonuçta ana alan adı adına e-posta gönderin.
Guardio, tehdide karşı koymak ve altyapıyı ortadan kaldırmak amacıyla, alan yöneticilerinin ve site sahiplerinin güvenlik ihlali işaretlerini aramasını sağlayan bir web sitesi olan SubdoMailing Checker’ı kullanıma sundu.
Araştırmacılar, “Bu operasyon, bu varlıkları çeşitli kötü niyetli ‘Reklamları’ dağıtmak için kötüye kullanmak üzere titizlikle tasarlandı ve bu ‘reklam ağı’ müşterileri için mümkün olduğu kadar çok tıklama almayı hedefliyor” dedi.
“Güvenliği ihlal edilmiş saygın alan adları, sunucular ve IP adreslerinden oluşan geniş bir koleksiyonla donanmış olan bu reklam ağı, kötü amaçlı e-posta yayılma sürecinde ustalıkla geziniyor, varlıkları arasında istediği zaman sorunsuz bir şekilde geçiş yapıyor ve atlıyor.”