Campanha de spam massiva usa antigos domínios de entidades reconhecidas

Publicado em por

Campanha de spam massiva usa antigos domínios de entidades reconhecidas

Foi recentemente descoberta uma nova campanha de spam, que se encontra a usar domínios e subdomínios de entidades reconhecidas para chegar a potenciais vítimas.

A campanha foi apelidada de “SubdoMailing”, e terá afetado mais de 8000 domínios de empresas reconhecidas, e mais de 13.000 sub-domínios. A campanha envia diariamente mais de cinco milhões de emails, com o objetivo de levar a esquemas e roubos para potenciais vítimas.

Para o esquema, os atacantes usam domínios e subdomínios que foram abandonados pelas respetivas entidades, mas ainda podem ter configurações DNS válidas, aproveitando as mesmas para o envio das mensagens fraudulentas.

Como estes domínios pertencem a entidades reconhecidas, a maioria dos filtros de spam não bloqueiam os seus conteúdos, fazendo com que as mensagens tenham uma elevada possibilidade de chegar à caixa de entrada.

Por entre algumas das entidades afetadas encontra-se o MSN, VMware, McAfee, The Economist, Cornell University, CBS, NYC.gov, PWC, Pearson, Better Business Bureau, Unicef, ACLU, Symantec, Java.net, Marvel e eBay.

exemplo de entidades comprometidas

De acordo com a Guardio Labs, as vítimas são direcionadas para várias páginas sobre diferentes pretextos, como a de alterar a senha do iCloud ou devido a transações suspeitas na conta de uma plataforma de pagamento.

No entanto, o objetivo principal desta campanha passa por aproveitar os registos DNS que existem em domínios e subdomínios que foram abandonados pelas empresas, para levar a que as mensagens não sejam filtradas ou bloqueadas como spam – em alguns dos casos, as mensagens podem ser enviadas com conteúdos que não dizem respeito às entidades associadas com os domínios.

De acordo com os investigadores, a campanha encontra-se a usar mais de 21 mil endereços de IPs diferentes para o envio das campanhas de spam, com mais de 5 milhões de mensagens enviadas todos os dias. A grande maioria dos servidores usados para o envio das mensagens encontram-se localizados na região dos EUA e Europa.

A Guardio Labs revelou uma ferramenta onde os gestores de domínios podem rapidamente verificar se os mesmos foram afetados nesta campanha, que pode ser acedida por este link.