Una importante campaña denominada SubdoMailing ha estado utilizando dominios que en su día fueron legítimos y pertenecieron a grandes compañías para hacer pasar millones de correos electrónicos por filtros de spam sin ser detectados.
Estos emails están diseñados para engañar a los usuarios con el fin de que interactúen con el mensaje, llegando a una serie de redireccionamientos que verifican el tipo de dispositivo y la ubicación, lo que en última instancia lleva a las víctimas a estafas o sitios web de phishing.
La firma Guardio, que ha advertido sobre dicha campaña, ha encontrado 8.800 dominios secuestrados, con específicamente más de 13.000 subdominios asociados. Además, estos crecerían por centenares cada día.
Se estima que los actores de amenazas los usaban para enviar aproximadamente 5 millones de correos electrónicos al día.
Guardio ha encontrado dominios abusados que eran propiedad de la Universidad de Nueva York, CBS News, VMWare o McAfee.
Los autores
La campaña habría sido perpetrada por un actor de amenazas llamado ResurrecAds. Parece que su fin es generar tantos clics como sea posible para sus clientes.
Estos ciberdelincuentes han ido hallando subdominios olvidados con registros DNS asociados como CNAME (alias para otro dominio) o SPF.
Para ilustrar el tema Guardio pone como ejemplo el subdominio marthastewart.msn.com', que Microsoft utilizó hace más de dos décadas para un sorteo de Martha Stewart.
"Este [actor de amenazas] parece estar escaneando sistemáticamente Internet en busca de dominios vulnerables, identificando oportunidades, comprando dominios, asegurando hosts y direcciones IP y luego orquestando meticulosamente la campaña en curso de difusión de correo electrónico", explica Guardio.
"Esto implica una vasta red de activos de propiedad intelectual y dominios secuestrados y adquiridos deliberadamente, lo que indica un alto nivel de organización y sofisticación técnica para mantener esta amplia escala de operaciones", concluye.