Bir siber güvenlik kurumu, meşru şirket ve kurumlara ait 8.000'den fazla alan adının ve 13.000 alt alan adının kontrolünü ele geçiren koordineli bir kötü amaçlı operasyonun ana hatlarını çizdi. Ele geçirilen ağ daha sonra büyük miktarda spam ve kötü amaçlı e-posta yayarak büyük web posta sağlayıcıları tarafından kullanılan güvenlik filtrelerini başarıyla aştı.
Guardio Labs'a göre MSN, VMware, McAfee, The Economist, Cornell Üniversitesi, CBS, Marvel, Swatch, Symantec, ACLU, PWC, Better Business Bureau, Unicef ve eBay gibi tanınmış markalar ve kurumlar, diğerlerinin yanı sıra, Saldırıda web siteleri ele geçirildi. "SubdoMailing" olarak adlandırılan operasyonun ciddi yatırımlar gerektirdiği ve tehdit aktörlerine "önemli miktarda gelir" sağladığı bildirildi.
Guardio Labs araştırmacıları Nati Tal ve Oleg Zaytsev, kötü amaçlı e-postaların, kötü amaçlı bağlantıları gizleyen gömülü linkler içerdiğini ortaya çıkardı. Bu linklere tıklamak, kullanıcıları farklı alanlardaki bir dizi yönlendirmeden geçirerek saldırganların "kötü amaçlı reklam" veya sahte reklamlar yoluyla gelir elde etmesine olanak tanıyordu.
Araştırmacılar, "Bu yönlendirmeler cihaz türünüzü ve coğrafi konumunuzu kontrol ederek kârı en üst düzeye çıkaracak şekilde uyarlanmış içeriğe yönlendiriyor" dedi. Ancak, bağlantılardan bazıları kullanıcıları kimlik avı sitelerine yönlendirdiğinden, tüm yönlendirmeler sahte reklam görüntüleme amaçlı zararsız alanlara yönelik değildi. Bazı durumlarda siteler, kullanıcıların paralarını dolandırmayı amaçlayan kötü amaçlı yazılım indirdi.
Kampanyanın en az 2022'den beri faaliyette olduğu ve her gün milyonlarca kimlik avı e-postasını güvenli e-posta ağ geçitlerinden geçirmek için SPF ve DKIM e-posta politikalarından yararlandığı bildirildi. Saldırganlar ayrıca metin tabanlı spam filtrelerinden kaçınmak için e-postaların tamamını resim olarak tasarladılar. Güvenilir alanlardan gelmeleri de tespitin atlanmasına yardımcı oldu.
Araştırmacılar, saldırıların, gelir elde etmek için "karanlık taktikler" kullanan "ResurrecAds" adlı kötü amaçlı bir reklam ağı tarafından gerçekleştirildiğine inanıyor. Bu taktiklerden biri, büyük markalarla ilişkili ölü alanları yeniden diriltmek ve bunları meşru hizmetlerden ve markalardan yararlanmak için arka kapı olarak kullanmaktır.
Guardio, etki alanı yöneticilerinin ve site sahiplerinin web sitelerini herhangi bir kötüye kullanım izi açısından kontrol etmelerine yardımcı olmak için bir SubdoMailing kontrol aracı oluşturdu .
https://guard.io/subdomailing
Bu araçla yöneticiler, etki alanlarının ele geçirilmesi durumunda sorunun nasıl çözüleceği ve gelecekte bu tür saldırıların nasıl önlenebileceği konusunda ilgili bilgileri edinebilir.
Kaynak:
https://www.techspot.com/news/102045-cr ... -sent.html
