SubdoMailing e l'ascesa del phishing su sottodomini

Guardio Labs si è imbattuto in un grave caso di dirottamento di sottodomini, che ha interessato migliaia di sottodomini. Hanno coniato il termine "SubdoMailing" per descrivere questa catena di attacchi che utilizza i sottodomini minacciati di aziende rinomate per inviare e-mail dannose. Le indagini hanno scoperto che la campagna dannosa è attiva dal 2022. 

Il subdoMailing può essere considerato una forma evoluta di attacco di ingegneria sociale, che sfrutta l'affidabilità di sottodomini ben riconosciuti. Gli aggressori gestiscono questa campagna malevola su larga scala, inviando milioni di e-mail di phishing dai sottodomini dirottati. 

Il dirottamento del sottodominio spiegato

Nel dirottamento del sottodominio, gli aggressori prendono il controllo di un sottodominio associato a un dominio radice legittimo, che diventa un terreno fertile per varie attività dannose. Il sottodominio dirottato può essere utilizzato per lanciare campagne di phishing, diffondere contenuti inappropriati, vendere sostanze illegali o diffondere ransomware.

Il più delle volte, i sottodomini inattivi rimangono inattivi per lunghi periodi di tempo. Cosa ancora più pericolosa, questi sottodomini hanno record DNS non funzionanti che aprono la strada al dirottamento dei sottodomini. Una volta che un aggressore assume il controllo di questi sottodomini, può farla franca con molte cose!

Quando si gestisce un nome di dominio con diversi sottodomini, è facile voltare le spalle e tenere le porte aperte. Che si tratti di un'azienda o di una piccola impresa, la mancata protezione dei sottodomini può portare a episodi come il SubdoMailing o altre forme di abuso dei sottodomini. 

Semplificate la sicurezza con PowerDMARC!

Come funzionano gli attacchi di SubdoMailing?

Un articolo di Guardio afferma che l'azienda ha scoperto un traffico di e-mail sospette provenienti da migliaia di sottodomini apparentemente legittimi di marchi rinomati. Tra questi, nomi importanti come MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel, eBay e molti altri!

Queste e-mail sfruttavano un senso di urgenza per manipolare gli utenti a cliccare su link compromettenti. Questi reindirizzavano gli utenti verso una serie di destinazioni dannose. Si andava da pubblicità invasive a siti web di phishing più pericolosi che miravano a rubare informazioni sensibili. 

Esempio di subdoMailing

Fonte

L'esempio riportato sopra è un classico caso di SubdoMailing scoperto da Guardio. Le e-mail provenienti da un sottodominio di Cash App compromesso sono state diffuse tra milioni di utenti. Questa e-mail mostrava un messaggio di avvertimento per la conferma di fondi in sospeso sui loro conti Cash App. L'e-mail conteneva diversi reindirizzamenti potenzialmente dannosi.

È difficile ignorare gli allegati e i link maligni creati con cura. Soprattutto quando sono allegati a un messaggio di avvertimento che richiede attenzione immediata. Naturalmente, in queste situazioni, è molto probabile che gli utenti facciano clic sui link e siano vittime di un attacco informatico. 

Attributi e caratteristiche dell'attacco SubdoMailing  

Si può prevedere che gli attacchi di SubdoMailing abbiano alte percentuali di successo grazie alle loro caratteristiche uniche. Guardio spiega che SubdoMailing utilizza tattiche altamente sofisticate per manipolare i sottodomini legittimi di nomi di marchi così popolari. Questi attacchi sono stati molto difficili da rilevare e hanno richiesto un'indagine approfondita da parte degli esperti di sicurezza informatica di Guardio. 

Perché gli attacchi di subdoMailing possono avere un'alta percentuale di successo

Vediamo un potenziale reale negli attacchi SubdoMailing per danneggiare seriamente diversi utenti ignari, a causa delle seguenti caratteristiche: 

1. Impersonificazione di marchi famosi con una reputazione consolidata
2. Operare su larga scala manipolando più di 8000 domini e non solo.
3. Bypassare i filtri antispam 
4. Bypassare i filtri dei contenuti delle e-mail curando messaggi credibili basati su immagini
5. Gli aggressori analizzano il tipo di dispositivo e la posizione dell'utente per lanciare attacchi più mirati 
6. Le email dannose hanno superato l'autenticazione delle e-mail come SPF, DKIM e DMARC.

Come fanno le e-mail di phishing di SubdoMailing a bypassare i controlli di autenticazione delle e-mail?

Prendiamo l'esempio di uno dei casi d'uso analizzati da Guardio. Guardio ha trovato diverse e-mail di phishing provenienti da un particolare sottodominio di msn.com. 

Da un'analisi più approfondita di queste e-mail dannose, Guardio ha scoperto che sono state inviate da un server con sede nella città ucraina di Kiev. Idealmente, questo avrebbe dovuto essere segnalato come sospetto durante un SPF a meno che l'indirizzo IP del server non fosse autorizzato. Da un controllo è emerso che un sottodominio di msn.com aveva autorizzato l'indirizzo IP sospetto.

Ciò potrebbe essere dovuto a uno dei seguenti motivi: 

• Potrebbe trattarsi di una minaccia interna, in cui un dipendente di MSN ha intenzionalmente autorizzato l'indirizzo IP per l'invio di e-mail di phishing. 
• Potrebbe trattarsi di un semplice caso di errore umano in cui il server è stato involontariamente autorizzato a causa di un errore di battitura.
• Potrebbe trattarsi di una forma più avanzata di manipolazione DNS in cui il sottodominio MSN è stato dirottato da una minaccia esterna per autorizzare il server. sottodominio MSN è stato dirottato da una minaccia esterna per autorizzare il server

Un ulteriore esame del record SPF per il sottodominio msn.com ha portato gli esperti di Guardio in una tana di coniglio con 17826 indirizzi IP annidati che sono autorizzati a inviare e-mail per conto del dominio. L'intricatezza del record SPF lasciava intendere un approccio molto sospetto ma accuratamente realizzato per manipolare i filtri di autenticazione. Inoltre, le indagini hanno rivelato che questo sottodominio MSN puntava a un altro dominio tramite un record DNS CNAME. Pertanto, una volta acquistato l'altro dominio, l'aggressore ha potuto dirottare il sottodominio MSN.

Come hanno fatto gli aggressori a raggiungere questo obiettivo? Scopriamolo: 

Uso di sottodomini inattivi/abbandonati per SubdoMailing

Guardio ha utilizzato gli archivi di Internet per capire se il sottodominio msn.com fosse effettivamente rivendicato da MSN. Si è scoperto che il sottodominio era attivo 22 anni fa. Era rimasto abbandonato per più di due decenni, fino a poco tempo fa! 

Ecco cosa è successo: 

• Un attore minaccioso ha acquistato il dominio collegato al sottodominio. Poiché il collegamento esisteva ancora 22 anni dopo, è stato in grado di dirottare il dominio. 
• Ora erano liberi di manipolarlo in qualsiasi modo! Gli aggressori hanno autorizzato i propri server nel record SPF del sottodominio, il che ha permesso loro di inviare e-mail di phishing autenticate a nome del sottodominio. 
• Hanno sfruttato questa opportunità per inviare milioni di e-mail fraudolente con la scusa di msn.com, spacciandosi per mittenti legittimi. 

Manipolazione dei record SPF per SubdoMailing

Nel caso di SubdoMailing, il record SPF del sottodominio dirottato ospitava diversi domini abbandonati. Questi domini sono stati poi acquisiti per autorizzare i server SMTP di proprietà degli aggressori. In base alla natura della politica SPF, il sottodominio finisce per autorizzare tutti questi server controllati dagli aggressori come mittenti legittimi di e-mail. 

Il motivo per cui utilizziamo l'SPF è quello di autorizzare i mittenti legittimi. Ciò diventa molto importante quando un'azienda utilizza fornitori esterni di posta elettronica per inviare le proprie e-mail. In questo modo si elimina anche la possibilità che fonti fraudolente inviino e-mail a nome di un dominio. In questo classico caso di manipolazione del record SPF, il vantaggio dell'utilizzo di SPF per l'autenticazione delle e-mail è stato abusato per autorizzare mittenti malintenzionati. 

Prevenire gli attacchi di SubdoMailing: Cosa possono fare le aziende?

Una forma avanzata di attacco di dirottamento di sottodomini come il SubdoMailing richiede una strategia di prevenzione proattiva. Ecco come iniziare: 

Prevenire i record DNS pendenti

Le voci DNS che puntano a domini deconfigurati o a server non più in uso possono portare al SubdoMailing. Assicuratevi di aggiornare regolarmente i vostri record DNS e di non autorizzare fonti obsolete. Nei vostri record DNS dovrebbero essere puntati solo i domini o i server attivi di cui avete il controllo. Dovete anche assicurarvi che i vostri fornitori di e-mail mantengano pulite le loro liste di invio e rimuovano i server non più in uso. 

Monitoraggio dei canali e-mail 

La configurazione dei rapporti DMARC non è sufficiente, ma deve essere accompagnata dal monitoraggio dei rapporti. Come proprietari di un dominio, dovreste essere sempre consapevoli delle vostre pratiche di invio delle e-mail. Con grandi volumi di e-mail, questo è difficile da ottenere anche con una casella di posta elettronica dedicata. Ecco perché avete bisogno di un fornitore di terze parti come PowerDMARC. Vi aiutiamo a monitorare le fonti di invio e l'attività di posta elettronica in un dashboard basato su cloud con funzionalità di filtraggio avanzate. I sottodomini vengono rilevati automaticamente sulla nostra piattaforma, aiutandovi a tenerli sotto controllo. Questo vi permette di scoprire immediatamente qualsiasi attività sospetta! 

Controllate i vostri sottodomini 

Questo è un campanello d'allarme per rivalutare tutte le vostre fonti di invio oggi. Iniziate eseguendo un controllo SPF con il nostro strumento gratuito!

Valutate i meccanismi di "include" nel vostro stato SPF per controllare i domini e i sottodomini inclusi. Questi domini ospitano i record SPF, con indirizzi IP autorizzati a inviare e-mail per conto del dominio principale. Se trovate un sottodominio che non utilizzate più, è il momento di rimuovere l'"include" per esso. È possibile accedere alla zona di modifica del DNS per apportare le modifiche necessarie. 

Ulteriori suggerimenti per proteggersi dagli attacchi informatici 

• Assicuratevi che i vostri record CNAME siano sempre aggiornati e disabilitate o rimuovete i record CNAME che non utilizzate più.
• Assicuratevi che anche i meccanismi SPF del vostro record siano aggiornati, rimuovete i servizi di invio che non utilizzate più.
• Configurate le vostre fonti legittime per inviare e-mail conformi al DMARC e impostate il criterio DMARC per rifiutare i vostri domini e sottodomini. 
• Proteggere i domini e i sottodomini parcheggiati
• Rimuovere i sottodomini e i record DNS inutilizzati
• Esaminate continuamente le e-mail inviate dai vostri domini e sottodomini impostando la reportistica per tutti i domini di vostra proprietà.

Protezione dei domini con PowerDMARC

PowerDMARC può aiutarvi a proteggere i vostri nomi di dominio! La nostra piattaforma è stata progettata per consentire ai proprietari di domini di riprendere il controllo dei propri domini attraverso la visibilità e il monitoraggio. Vi aiutiamo a tenere traccia delle vostre fonti di invio e del traffico e-mail, presentandovi dettagli granulari sui dettagli della vostra attività e-mail. Questo vi aiuta a rilevare schemi insoliti nell'attività del vostro dominio, IP dannosi che si spacciano per il vostro dominio e persino a scoprire la posizione geografica dei server che effettuano lo spoofing del vostro marchio. 

Per iniziare il vostro viaggio nella sicurezza del dominio con noi, contattateci per parlare con un esperto oggi stesso!

• Informazioni su
• Ultimi messaggi

Yunes Tarada

Esperto di sicurezza dei domini e delle e-mail presso PowerDMARC

Yunes è un Operations Team Lead di PowerDMARC, esperto di autenticazione e sicurezza delle e-mail. Yunes è un Azure Administrator Associate certificato da Microsoft con certificazioni in CompTIA A+ e molte altre.

Ultimi messaggi di Yunes Tarada (vedi tutti)

• Spiegazione del meccanismo neutro dell'SPF: Quando e come usarlo - 23 giugno 2025
• Errori di allineamento dei domini DKIM - Correzioni RFC 5322 - 5 giugno 2025
• DMARCbis spiegato: cosa sta cambiando e come prepararsi - 19 maggio 2025