Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

SPAM-STORM: Come proteggerti da SubdoMailing e dal bombardamento di spam

Redazione RHC : 5 Marzo 2024 07:18

Gli esperti di Guardio Labs hanno scoperto una campagna fraudolenta su larga scala chiamata SubdoMailing. Gli hacker hanno utilizzato più di 8.000 domini abbandonati e 13.000 sottodomini per inviare spam via e-mail di massa (fino a 5.000.000 di e-mail al giorno), traendo profitto da truffe e pubblicità dannose.

L’indagine di Guardio Labs è iniziata con la scoperta di modelli insoliti nei metadati delle e-mail e si è scoperto che questa campagna è attiva dal 2022. Gli operatori di SubdoMailing si impadroniscono dei domini abbandonati di diverse aziende rinomate e li utilizzano per inviare e-mail dannose.

Poiché questi domini appartengono ad aziende affidabili e conosciute, possono bypassare i filtri antispam e talvolta sfruttare i criteri SPF e DKIM configurati che comunicano ai gateway di posta elettronica sicuri che le e-mail non sono spam. I domini catturati vengono utilizzati anche per ospitare pagine di phishing e contenuti pubblicitari fraudolenti.

I marchi interessati dall’attività di SubdoMailing includono: MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel ed eBay.

Email dannose (fonte Guardio Labs)

Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Quando fanno clic sui pulsanti incorporati nel corpo delle e-mail dannose, gli utenti vengono portati attraverso una serie di reindirizzamenti, che generano entrate per gli aggressori attraverso impressioni di annunci fraudolenti. E alla fine, la vittima finisce su una sorta di falso sito che distribuisce premi, sondaggi e truffa di affiliazione.

L’esame di una di queste e-mail, presumibilmente proveniente da MSN, ha dimostrato la varietà di tattiche utilizzate dagli aggressori per dare ai propri messaggi una percezione di legittimità e aggirare la sicurezza, compreso l’abuso dei controlli SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) e DMARC ( (Protocolli di posta basata su dominio), Autenticazione dei messaggi, Reporting e Conformità).

Guardio Labs afferma che gli operatori di SubdoMailing prendono di mira principalmente domini e sottodomini di aziende rinomate, che attaccano utilizzando l’intercettazione CNAME e lo sfruttamento dei record SPF.

Negli attacchi CNAME gli aggressori cercano quindi sottodomini di marchi noti con record CNAME che rimandano a domini esterni non più registrati. Gli hacker registrano quindi questi domini tramite NameCheap.

Il secondo metodo consiste nell’esaminare i record SPF dei domini di destinazione, che utilizzano l’opzione “include:” per puntare a domini esterni che non sono più registrati. Di conseguenza, l’opzione di inclusione SPF viene utilizzata dagli hacker per importare mittenti di posta elettronica consentiti da un dominio esterno che ora è sotto il controllo degli aggressori.

Gli aggressori registrano i domini che trovano e poi modificano i loro record SPF per autorizzare i loro server di posta dannosi. Ciò fa sembrare che le e-mail truffa provengano da un dominio attendibile (come MSN).

Gli esperti di Guardio Labs associano questa campagna al gruppo ResurrecAds, che scansiona regolarmente Internet alla ricerca di domini abbandonati e dimenticati da sequestrare e acquisisce anche nuovi host, indirizzi IP e così via. È da notare che gli aggressori aggiornano costantemente una vasta rete di domini compromessi e acquistati (vengono registrati fino a 71 domini al giorno), server SMTP e indirizzi IP per mantenere la portata delle loro operazioni.

Secondo i ricercatori, SubdoMailing utilizza attualmente circa 22.000 indirizzi IP univoci, circa 1.000 dei quali sembrano essere proxy residenziali. La base di questa campagna è ora costituita da server SMTP sparsi in tutto il mondo e configurati per distribuire e-mail dannose attraverso una rete di circa 8.000 domini e 13.000 sottodomini.

Poiché la portata di questa operazione è enorme, Guardio Labs ha creato un sito Web speciale con il quale i proprietari di domini possono verificare se sono stati sottoposti a un attacco SubdoMailing e se il loro marchio viene utilizzato come copertura per la distribuzione di spam pericoloso.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

L’intelligenza artificiale ci travolgerà! l’allarme dell’ex dirigente di Google è un futuro distopico
Di Redazione RHC - 07/08/2025

Un ex dirigente di Google lancia l’allarme: l’intelligenza artificiale è pronta a spodestare i lavoratori e trascinarci verso una distopia. Mo Gawdat, lancia l’allarme: l...

Oskemen o niente: il Cyberpandino sfida canyon, deserti e dromedari e non si ferma!
Di Redazione RHC - 07/08/2025

Una Panda del 2003, acquistata per appena 800 €, è diventata qualcosa di totalmente diverso, anche per noi di Red Hot Cyber! Grazie alla genialità di Matteo Errera e Roberto Za...

Italiani in vacanza, identità in vendita: soggiorno 4 stelle… Sono in 38.000, ma sul dark web
Di Redazione RHC - 06/08/2025

Mentre l’ondata di caldo e il desiderio di una pausa estiva spingono milioni di persone verso spiagge e città d’arte, i criminali informatici non vanno in vacanza. Anzi, approfittan...

Telecamere D-Link sotto attacco! Gli hacker sfruttano ancora vulnerabilità del 2020. Il CISA Avverte
Di Redazione RHC - 06/08/2025

Di recente, i criminali informatici si sono nuovamente concentrati su vecchie vulnerabilità presenti nelle popolari telecamere Wi-Fi e nei DVR D-Link. La Cybersecurity and Infrastructure Security...

Decadenza Digitale: Quando il Futuro Promesso Diventa una Gabbia per la mente
Di Massimiliano Brolli - 06/08/2025

Per decenni abbiamo celebrato il digitale come la promessa di un futuro più connesso, efficiente e democratico. Ma oggi, guardandoci intorno, sorge una domanda subdola e inquietante: e se fossimo...