Une campagne massive de fraude publicitaire nommée « SubdoMailing » utilise plus de 8 000 domaines Internet légitimes et 13 000 sous-domaines pour envoyer jusqu’à cinq millions d’e-mails par jour afin de générer des revenus par le biais d’escroqueries et de publicités malveillantes.
La campagne s’appelle « SubdoMailing », car les acteurs de la menace détournent des sous-domaines abandonnés et des domaines appartenant à des entreprises bien connues pour envoyer leurs courriels malveillants.
Comme ces domaines appartiennent à des sociétés de confiance, ils bénéficient de la possibilité de contourner les filtres anti-spam et, dans certains cas, de tirer parti des stratégies de messagerie configurées SPF et DKIM qui indiquent aux passerelles de messagerie sécurisées que les e-mails sont légitimes et non du spam.
Certaines marques notables qui ont été victimes de cette campagne de détournement de domaine incluent MSN, VMware, McAfee, The Economist, l’Université Cornell, CBS, NYC.gov, PWC, Pearson, Bureau d’éthique commerciale, Unicef, ACLU, Symantec, Java.net, Marvel et eBay.
Ces marques renommées confèrent involontairement une légitimité aux courriels frauduleux et les aident à passer à travers les filtres de sécurité.
En cliquant sur les boutons intégrés dans les e-mails, les utilisateurs passent par une série de redirections, générant des revenus pour les acteurs de la menace via des vues publicitaires frauduleuses. En fin de compte, l’utilisateur arrive à de faux cadeaux, analyses de sécurité, enquêtes ou escroqueries d’affiliation.
Les chercheurs de Guardio Labs, Nati Tal et Oleg Zaytsev, ont découvert la campagne de fraude publicitaire et ont indiqué que l’opération était en cours depuis 2022.
Détournement de domaines pour le spam
L’enquête de Guardian Labs a commencé par la détection de schémas inhabituels dans les métadonnées des e-mails, ce qui a conduit à la découverte d’une vaste opération de détournement de sous-domaines.
Une étude de cas d’un e-mail faussement autorisé par MSN présente la variété des tactiques utilisées par les attaquants pour faire paraître leurs e-mails légitimes et échapper aux blocages, y compris l’abus des contrôles SPF (Sender Policy Framework), DKIM (DomainKeys Identified Mail) et DMARC (Authentification, Reporting et Conformité des messages basés sur le domaine) protocoles.
Ces politiques de messagerie sont utilisées pour prouver aux passerelles de messagerie sécurisées que l’expéditeur d’un e-mail est légitime et ne doit pas être traité comme du spam.
La campagne de sous-domaining cible les domaines et sous-domaines d’organisations réputées, tentant de les détourner principalement par le détournement de CNAME et l’exploitation des enregistrements SPF.
Dans les attaques CNAME, les auteurs de menaces recherchent des sous-domaines de marques réputées avec des enregistrements CNAME pointant vers des domaines externes qui ne sont plus enregistrés. Ils enregistrent ensuite eux-mêmes ces domaines via le service NameCheap.
La deuxième méthode consiste à examiner les enregistrements SPF des domaines cibles qui utilisent l’option de configuration « inclure: » pointant vers des domaines externes qui ne sont plus enregistrés.
L’option SPF include est utilisée pour importer les expéditeurs d’e-mails autorisés à partir du domaine externe, qui est désormais sous le contrôle de l’auteur de la menace.
Les attaquants enregistrent ces domaines, puis modifient leurs enregistrements SPF pour autoriser leurs propres serveurs de messagerie malveillants. Cela donne l’impression que les e-mails de l’auteur de la menace proviennent légitimement d’un domaine réputé, comme MSN.
L’opération exploite généralement les domaines détournés pour envoyer des e-mails de spam et de phishing, héberger des pages de phishing ou héberger du contenu publicitaire trompeur.
Une campagne massive
Guardio Labs attribue la campagne à un acteur menaçant qu’ils appellent des « RessusciTés », qui analyse systématiquement le Web à la recherche de domaines pouvant être détournés, sécurisant de nouveaux hôtes et adresses IP et effectuant des achats de domaines ciblés.
L’auteur de la menace actualise en permanence un vaste réseau de domaines, serveurs SMTP et adresses IP piratés et acquis pour maintenir l’échelle et la complexité de l’opération.
Guardian Labs affirme que le sous-domaining utilise près de 22 000 adresses IP uniques, dont un millier semblent être des proxys résidentiels.
Actuellement, la campagne fonctionne via des serveurs SMTP répartis dans le monde entier et configurés pour diffuser des courriels frauduleux via un vaste réseau de domaines 8,000 et de sous-domaines 13,000.
Le nombre d’e-mails atteignant les cibles dépasse 5 000 000 par jour. Bien qu’il soit impossible d’apprécier le profit de l’attaquant, l’ampleur de l’opération et le volume des courriels frauduleux sont indéniablement massifs.
Guardian Labs a créé un site de vérification des sous-domaines qui peut permettre aux propriétaires de domaines de détecter si leur marque est victime d’abus et de prendre des mesures pour l’arrêter ou l’empêcher.