¿Lo que acaba de suceder? Una agencia de ciberseguridad ha delineado una operación maliciosa coordinada que tomó el control de más de 8.000 dominios y 13.000 subdominios pertenecientes a empresas e instituciones legítimas. Posteriormente, la red comprometida difundió grandes volúmenes de spam y correos electrónicos maliciosos, evitando con éxito los filtros de seguridad utilizados por los principales proveedores de correo web.
De acuerdo a Laboratorios Guardio, algunas marcas e instituciones conocidas, incluidas MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel, Swatch, Symantec, ACLU, PWC, Better Business Bureau, Unicef y eBay, entre otras, sufrieron secuestro de sus sitios web. en el ataque. La operación, denominada «SubdoMailing», requirió importantes inversiones y supuestamente generó «ingresos sustanciales» para los actores de la amenaza.
Los investigadores de Guardio Labs, Nati Tal y Oleg Zaytsev, revelaron que los correos electrónicos maliciosos contenían botones incrustados que ocultaban enlaces maliciosos. Al hacer clic en estos botones, los usuarios conducían a través de una serie de redirecciones en diferentes dominios, lo que permitía a los atacantes generar ingresos a través de «publicidad maliciosa» o anuncios fraudulentos.
«Estas redirecciones verifican el tipo de dispositivo y la ubicación geográfica, lo que genera contenido personalizado para maximizar las ganancias», dijeron los investigadores. Sin embargo, no todas las redirecciones fueron a dominios benignos para visualizaciones de anuncios fraudulentos, ya que algunos de los enlaces también dirigían a los usuarios a sitios de phishing. En algunos casos, los sitios descargaron malware destinado a estafar a los usuarios con su dinero.
Según se informa, la campaña ha estado operativa desde al menos 2022 y aprovechó las políticas de correo electrónico SPF y DKIM para enviar millones de correos electrónicos de phishing a través de puertas de enlace de correo electrónico seguras cada día. Los atacantes también diseñaron correos electrónicos completos como imágenes para evadir los filtros de spam basados en texto. El hecho de que se originaran en dominios confiables también ayudó a evitar la detección.
Los investigadores creen que los ataques fueron llevados a cabo por una red publicitaria maliciosa llamada «ResurrecAds» que emplea «tácticas oscuras» para generar ingresos. Una de esas tácticas es resucitar dominios muertos asociados con grandes marcas y utilizarlos como puertas traseras para explotar marcas y servicios legítimos.
Para ayudar a los administradores de dominios y propietarios de sitios a comprobar sus sitios web en busca de rastros de abuso, Guardio creó un Herramienta de verificación de subdomailing. Con esta herramienta, los administradores pueden obtener información relevante sobre cómo solucionar el problema si sus dominios han sido comprometidos y prevenir este tipo de ataques en el futuro.