Übernahme von über 8.000 Subdomains von legitimen Marken und Institutionen für Spam-Verbreitung und Klick-Monetarisierung durch Bedrohungsakteur ResurrecAds

Guardio Labs verfolgt koordinierte bösartige Aktivitäten unter dem Namen SubdoMailing, bei denen E-Mails von gefälschten Paketzustellwarnungen bis hin zu Phishing nach Kontozugangsdaten reichen. Die israelische Sicherheitsfirma schreibt die Kampagne dem Bedrohungsakteur ResurrecAds zu, der tote Domains von großen Marken oder darüber verbundenen wiederbelebt, um das digitale Werbeökosystem zu manipulieren. Die Subdomains gehören oder sind mit bekannten Marken und Organisationen wie ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Symantec, The Economist, UNICEF und VMware verbunden.

Die Kampagne umgeht Standard-Sicherheitsblöcke, um E-Mail-Filter zu umgehen. Die gesamte E-Mail wird als Bild konzipiert, um durch textbasierte Spam-Filter zu schlüpfen und leitet zu einer Folge von Weiterleitungen durch verschiedene Domains weiter. Die E-Mails wurden so gestaltet, dass sie SPF, DKIM und DMARC-Überprüfungen umgehen, die helfen sollen, Nachrichten als Spam zu kennzeichnen.

Guardio entdeckte auch Vorfälle, bei denen die DNS SPF Aufzeichnung einer bekannten Domain verlassene Domains von aufgegebenen E-Mail- oder Marketingdiensten enthielt, was es Angreifern ermöglichte, Besitz von diesen Domains zu ergreifen, ihre eigenen IP-Adressen in die Aufzeichnung einzufügen und letztendlich E-Mails im Namen des Hauptdomainnamens zu senden.

Um der Bedrohung entgegenzuwirken, hat Guardio einen SubdoMailing Checker veröffentlicht, der es Domainadministratoren und Website-Besitzern ermöglicht, Anzeichen einer Kompromittierung zu erkennen. Die Forscher betonen, dass die Operation darauf abzielt, legitime Domains, Server und IP-Adressen zu nutzen, um bösartige Werbung zu verbreiten und so viele Klicks wie möglich zu generieren.