La campagne serait opérationnelle depuis au moins 2022
Qu’est-ce qui vient de se passer? Une agence de cybersécurité a décrit une opération malveillante coordonnée qui a pris le contrôle de plus de 8 000 domaines et 13 000 sous-domaines appartenant à des entreprises et institutions légitimes. Le réseau compromis a ensuite diffusé d’importants volumes de spam et d’e-mails malveillants, contournant avec succès les filtres de sécurité utilisés par les principaux fournisseurs de messagerie Web.
Selon Guardio Labs, certaines marques et institutions bien connues, notamment MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel, Swatch, Symantec, ACLU, PWC, Better Business Bureau, Unicef et eBay, entre autres, leurs sites Web ont été piratés lors de l’attaque. Baptisée « SubdoMailing », l’opération a nécessité des investissements importants et aurait généré des « revenus substantiels » pour les auteurs de la menace.
Les chercheurs de Guardio Labs, Nati Tal et Oleg Zaytsev, ont révélé que les e-mails malveillants contenaient des boutons intégrés dissimulant des liens malveillants. En cliquant sur ces boutons, les utilisateurs étaient dirigés vers une série de redirections vers différents domaines, permettant aux attaquants de générer des revenus grâce au « malvertising » ou à des publicités frauduleuses.
« Ces redirections vérifient le type de votre appareil et votre emplacement géographique, conduisant à un contenu adapté pour maximiser les profits », ont indiqué les chercheurs. Cependant, toutes les redirections n’étaient pas dirigées vers des domaines inoffensifs pour des vues publicitaires frauduleuses, car certains liens dirigeaient également les utilisateurs vers des sites de phishing. Dans certains cas, les sites téléchargeaient des logiciels malveillants visant à soutirer de l’argent aux utilisateurs.
La campagne serait opérationnelle depuis au moins 2022 et aurait profité des politiques de messagerie SPF et DKIM pour transmettre chaque jour des millions d’e-mails de phishing via des passerelles de messagerie sécurisées. Les attaquants ont également conçu des e-mails entiers sous forme d’images pour échapper aux filtres anti-spam textuels. Le fait qu’ils proviennent de domaines de confiance a également permis de contourner la détection.
Les chercheurs pensent que les attaques ont été menées par un réseau publicitaire malveillant appelé « ResurrecAds » qui emploie des « tactiques sombres » pour générer des revenus. L’une de ces tactiques consiste à ressusciter les domaines morts associés aux grandes marques et à les utiliser comme portes dérobées pour exploiter des services et des marques légitimes.
Pour aider les administrateurs de domaine et les propriétaires de sites à vérifier sur leurs sites Web toute trace d’abus, Guardio a créé un outil de vérification SubdoMailing. Avec cet outil, les administrateurs peuvent obtenir des informations pertinentes sur la façon de résoudre le problème si leurs domaines ont été compromis et empêcher de telles attaques à l’avenir.