Igencsak komoly aktivitást mutató, régóta működő bűnbanda nyomára bukkant a Guardio Labs két szakértője, amikor a biztonsági cég levelezést védő rendszere szokatlan mintákat azonosított az e-mailek metaadataiban, többek között a feladó hitelesítéséről gondoskodó elemeknél.

Az ezt követő átfogó nyomozás közben rajzolódott ki az a szerteágazó és szofisztikált levelezési csaláskampány, amelynek részleteit, működési mechanizmusát egy terjedelmes bejegyzésben hozták tegnap nyilvánosságra a biztonsági labor munkatársai.

Nagyüzemi csalás

A SubdoMailing néven hivatkozott kampány üzemeltetői összesen több mint 8000 legitim internetes domain és mintegy 13 ezer aldomain mögé bújva indítanak útra naponta több mint 5 millió e-mailt, amelyek jó eséllyel átcsúsznak a védelmi vonalakon, köszöhetően a bevetett trükkököknek és összetett álcázási megoldásoknak.

A fenti adatoknál az sem kevésbé riasztó, hogy ez a csalássorozat a jelek szerint már 2022-ben elkezdődött, miközben a bűnözők olyan ismert cégek, szervezetek és márkák "háta mögé bújva" ébresztenek bizalmat, mint amilyen például a McAfee, a CBS, a PwC, a Pearson, a Symantec, vagy éppen az Unicef.

A legfőbb trükk az, hogy a banda folyamatosan pásztázza a valódi vállalatok által korábban birtokolt, de egy ideje már nem használt domaineket. Ezekre az elhagyott tartományokra lecsapva egy sor átirányítás bevetésével térítik el sikeresen a levelezéseket, átjátszva ezzel a hagyományos spamszűrési technikákat. 

A naponta kiküldött sok millió levél egyrészt reklámokkal teletömött hirdetési oldalakra navigálja az óvatlanokat, de a csalók hirdetési bevételeinek gyarapítása mellett akár további átverések áldozatai is lehetnek azok, akik bedőlnek a levélnek. Például nem létező nyereményjátékok és egyéb adatlopási csalások formájában.
 

Példák a csalók által küldött preparált levelekre (Forrás: Guardio Labs)

Az egész művelet mögött a ResurrecAds nevű bandát sejtik, akik kampányuk fenntartásához folyamatosan és szisztematikusan vizsgálják a netet sebezhető domainek után kutatva. A biztonsági kutatók becslése szerint a SubdoMailing közel 22 egyedi IP-címet használ a kártékony tartalmú levelek terjesztésére.

A Guardio Labs egyébként az eset kapcsán létrehozott egy ellenőrző felületet is, ahol a cégek és szervezetek ellenőrizhetik, hogy a hozzájuk tartozó elnevezések és márkák érintettek-e a csalássorozatban.