Guardio Labs se topó con un grave caso de secuestro de subdominios que afectaba a miles de subdominios. Acuñaron el término "SubdoMailing" para describir esta cadena de ataques que utiliza los subdominios amenazados de reputadas empresas para enviar correos electrónicos maliciosos. Las investigaciones descubrieron que la campaña maliciosa lleva activa desde 2022.
SubdoMailing puede considerarse una forma evolucionada de ataque de ingeniería social, que se aprovecha de la fiabilidad de subdominios bien reconocidos. Los atacantes llevan a cabo esta campaña maliciosa a gran escala, enviando millones de correos electrónicos de phishing desde los subdominios secuestrados.
Explicación del secuestro de subdominios
En el secuestro de subdominios, los atacantes se hacen cargo de un subdominio asociado a un dominio raíz legítimo, que se convierte entonces en caldo de cultivo para diversas actividades maliciosas. El subdominio secuestrado puede utilizarse para lanzar campañas de phishing, difundir contenidos inapropiados, vender sustancias ilegales o propagar ransomware.
La mayoría de las veces, los subdominios inactivos permanecen dormidos durante largos periodos de tiempo. Y lo que es aún más peligroso, estos subdominios tienen registros DNS colgantes que allanan el camino para el secuestro de subdominios. Una vez que un atacante asume el control de estos subdominios, ¡puede salirse con la suya!
Cuando usted está operando un nombre de dominio con varios subdominios, es fácil estar de espaldas y mantener las puertas abiertas. Ya sea una empresa o un pequeño negocio, no asegurar sus subdominios puede conducir a incidentes como SubdoMailing u otras formas de abuso de subdominios.
¿Cómo funcionan los ataques SubdoMailing?
Un artículo de Guardio en artículo de Guardio afirma que la empresa descubrió tráfico de correo electrónico sospechoso procedente de miles de subdominios aparentemente legítimos de marcas de renombre. Esto incluía grandes nombres como MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel, eBay y muchos más.
Estos correos electrónicos utilizaban una sensación de urgencia para manipular a los usuarios para que hicieran clic en enlaces comprometedores. Estos redirigían a los usuarios por una avenida de destinos dañinos. Iban desde anuncios invasivos hasta sitios web de phishing más peligrosos cuyo objetivo era robar información confidencial.
Ejemplo de SubdoMailing
El ejemplo anterior es un caso clásico de SubdoMailing descubierto por Guardio. Correos electrónicos originados en un subdominio comprometido de Cash App circularon entre millones de usuarios. Este correo electrónico mostraba un mensaje de advertencia para la confirmación de fondos pendientes en sus cuentas de Cash App. El correo contenía varias redirecciones potencialmente maliciosas.
Es muy difícil ignorar los adjuntos y enlaces de correos electrónicos maliciosos que están cuidadosamente elaborados. Especialmente cuando vienen adjuntos a un mensaje de advertencia que exige atención inmediata. Naturalmente, en estas situaciones, es muy probable que los usuarios hagan clic en los enlaces y sean víctimas de un ciberataque.
Atributos y características del ataque SubdoMailing
Los ataques de SubdoMailing pueden proyectarse con altas tasas de éxito debido a sus características únicas. Guardio explica que SubdoMailing utiliza tácticas muy sofisticadas para manipular subdominios legítimos de marcas tan populares. Estos ataques fueron muy difíciles de detectar y requirieron una investigación exhaustiva por parte de los expertos en ciberseguridad de Guardio.
Por qué los ataques de SubdoMailing pueden tener un alto porcentaje de éxito
Vemos un potencial real en los ataques de SubdoMailing para dañar seriamente a varios usuarios desprevenidos, debido a las siguientes características:
- Suplantación de marcas conocidas con una reputación establecida
- Operar a gran escala manipulando más de 8000 dominios y contando
- Eludir los filtros de spam
- Eludir los filtros de contenido del correo electrónico seleccionando mensajes creíbles basados en imágenes
- Los atacantes analizan el tipo de dispositivo y su ubicación para lanzar ataques más selectivos.
- Los correos maliciosos pasaron autenticación de correo electrónico como SPF, DKIM y DMARC.
¿Cómo eluden los correos electrónicos de phishing de SubdoMailing las comprobaciones de autenticación de correo electrónico?
Tomemos el ejemplo de uno de los casos de uso investigados por Guardio. Guardio encontró varios correos electrónicos de phishing procedentes de un subdominio concreto de msn.com.
Al examinar más detenidamente estos correos maliciosos, Guardio descubrió que se enviaban desde un servidor con sede en la ciudad ucraniana de Kiev. En el mejor de los casos, esto se habría detectado como sospechoso durante un análisis SPF. SPF a menos que la dirección IP del servidor estuviera autorizada. Al comprobarlo, se descubrió que un subdominio de msn.com había autorizado la dirección IP sospechosa.
Esto puede deberse a una de las siguientes razones:
- Podría tratarse de una amenaza interna en la que un empleado de MSN autorizó intencionadamente la dirección IP para enviar correos electrónicos de phishing.
- Podría ser un simple caso de error humano en el que el servidor fue autorizado involuntariamente debido a un error tipográfico.
- Podría ser una forma más avanzada de manipulación DNS donde el subdominio MSN fue secuestrado por una amenaza externa para autorizar al servidor
Un examen más detallado del registro SPF del subdominio msn.com llevó a los expertos de Guardio a una madriguera de 17826 direcciones IP anidadas que están autorizadas a enviar correos electrónicos en nombre del dominio. La enorme complejidad del registro SPF apuntaba a un enfoque muy sospechoso, aunque cuidadosamente elaborado, para manipular los filtros de autenticación. Y lo que es más importante, las investigaciones revelaron que este subdominio MSN apuntaba a otro dominio a través de un registro DNS CNAME. Por lo tanto, una vez que el atacante compró el otro dominio, le permitió secuestrar el subdominio de MSN.
¿Cómo lo han conseguido? Averigüémoslo:
Utilización de subdominios inactivos/abandonados para SubdoMailing
Guardio utilizó los archivos de Internet para profundizar en la comprensión de si el subdominio msn.com era en realidad reclamado por MSN. Resulta que el subdominio estuvo activo hace 22 años. Llevaba abandonado más de dos décadas, ¡hasta hace poco!
Así que esto es lo que pasó:
- Un actor de amenazas compró el dominio que estaba vinculado al subdominio. Como el enlace seguía existiendo 22 años después, pudieron secuestrar el dominio.
- Ahora eran libres de manipularlo como quisieran. Los atacantes autorizaron sus propios servidores en el registro SPF del subdominio, lo que les permitió enviar correos electrónicos de phishing autenticados en nombre del subdominio.
- Aprovecharon esta oportunidad para enviar millones de correos electrónicos fraudulentos bajo la apariencia de msn.com, haciéndose pasar por remitentes legítimos.
Manipulación de registros SPF para SubdoMailing
En el caso de SubdoMailing, el registro SPF del subdominio secuestrado alojaba varios dominios abandonados. Estos dominios se adquirieron posteriormente para autorizar servidores SMTP propiedad de los atacantes. Según la naturaleza de la política SPF, el subdominio acaba autorizando a todos estos servidores controlados por el atacante como remitentes legítimos de correo electrónico.
La razón por la que utilizamos SPF es para autorizar a los remitentes legítimos. Esto es muy importante cuando una empresa utiliza proveedores de correo electrónico externos para enviar sus correos electrónicos. Esto también elimina las posibilidades de que fuentes fraudulentas envíen correos electrónicos en nombre de un dominio. En este caso clásico de manipulación del registro SPF, se abusó de la ventaja de utilizar SPF para autenticar correos electrónicos para autorizar a remitentes malintencionados.
Prevención de ataques de SubdoMailing: ¿Qué pueden hacer las empresas?
Una forma avanzada de ataque de secuestro de subdominio como SubdoMailing requiere una estrategia de prevención proactiva. He aquí cómo puede empezar:
Prevención de registros DNS colgantes
Las entradas DNS que apuntan a dominios desconfigurados, o a servidores que ya no están en uso, pueden provocar SubdoMailing. Asegúrese de que está actualizando regularmente sus registros DNS y no está autorizando fuentes obsoletas. En sus registros DNS sólo deben apuntar a dominios o servidores activos que usted controle. También debe asegurarse de que sus proveedores de correo electrónico mantienen limpias sus listas de envío y eliminan los servidores que ya no están en uso.
Supervisión de los canales de correo electrónico
Configurar los informes DMARC no es suficiente, debe ir acompañado de la supervisión de los informes. Como propietario de un dominio, debe ser consciente en todo momento de sus prácticas de envío de correo electrónico. Con grandes volúmenes de correo electrónico, esto es difícil de conseguir incluso con un buzón dedicado. Por eso necesita un proveedor externo como PowerDMARC. Le ayudamos a supervisar sus fuentes de envío y la actividad del correo electrónico en un panel de control basado en la nube con funciones de filtrado avanzadas. Los subdominios se detectan automáticamente en nuestra plataforma, lo que le ayuda a vigilarlos de cerca. Esto le permite descubrir cualquier actividad sospechosa al instante.
Controle sus subdominios
Esta es una llamada de atención para que reevalúe hoy mismo todas sus fuentes de envío. Empiece por realizar una comprobación SPF con nuestra herramienta gratuita.
Evalúe los mecanismos de "inclusión" en su estado SPF para comprobar sus dominios y subdominios incluidos. Estos dominios alojan registros SPF, con direcciones IP autorizadas para enviar correos electrónicos en nombre de su dominio raíz. Si encuentras un subdominio que ya no utilizas, es hora de quitarle el "include". Puedes dirigirte a tu zona de edición de DNS para realizar los cambios necesarios.
Consejos adicionales para protegerse de los ciberataques
- Asegúrese de que sus registros CNAME estén siempre actualizados y desactive o elimine los registros CNAME que ya no utilice.
- Asegúrese también de que los mecanismos SPF de su registro están actualizados, elimine cualquier servicio de envío que ya no utilice
- Configure sus fuentes legítimas para que envíen correos electrónicos compatibles con DMARC y configure su política DMARC para que rechace sus dominios y subdominios.
- Proteja sus dominios y subdominios aparcados
- Eliminar subdominios y registros DNS no utilizados
- Revise continuamente los correos electrónicos enviados desde sus dominios y subdominios configurando informes para todos los dominios de su propiedad.
Proteger sus dominios con PowerDMARC
PowerDMARC puede ayudarle a proteger sus nombres de dominio. Nuestra plataforma está diseñada para permitir a los propietarios de dominios recuperar el control de sus propios dominios a través de la visibilidad y la supervisión. Le ayudamos a realizar un seguimiento de sus fuentes de envío y tráfico de correo electrónico mediante la presentación de detalles granulares sobre los pormenores de su actividad de correo electrónico. Esto le ayuda a detectar patrones inusuales en la actividad de su dominio, IPs maliciosas suplantando su dominio, e incluso descubrir la ubicación geográfica de los servidores que suplantan su nombre de marca.
Para iniciar su viaje de seguridad de dominios con nosotros, póngase en contacto para hablar con un experto.
- ¿Cómo configurar DMARC en Office 365? Guía paso a paso - 6 de mayo de 2024
- Explicación de los códigos de error SMTP Yahoo - 1 de mayo de 2024
- SPF Softfail Vs Hardfail: ¿Cuál es la diferencia? - 26 de abril de 2024