SubdoMailing e a ascensão do phishing de subdomínios

A Guardio Labs deparou-se com um caso grave de sequestro de subdomínios, afectando milhares de subdomínios. Criaram o termo "SubdoMailing" para descrever esta cadeia de ataques que utiliza os subdomínios ameaçados de empresas de renome para enviar e-mails maliciosos. As investigações revelaram que a campanha maliciosa está ativa desde 2022. 

O SubdoMailing pode ser considerado como uma forma evoluída de ataque de engenharia social, que se aproveita da fiabilidade de subdomínios bem reconhecidos. Os atacantes estão a operar esta campanha maliciosa em grande escala, enviando milhões de e-mails de phishing a partir dos subdomínios sequestrados. 

Subdomínio Hijacking Explicado

No sequestro de subdomínios, os atacantes tomam conta de um subdomínio associado a um domínio de raiz legítimo, que se torna então um terreno fértil para várias actividades maliciosas. O subdomínio sequestrado pode ser utilizado para lançar campanhas de phishing, fazer circular conteúdos inadequados, vender substâncias ilegais ou espalhar ransomware.

Na maioria das vezes, os subdomínios inactivos permanecem inactivos durante longos períodos de tempo. O que é ainda mais perigoso é que estes subdomínios têm registos DNS pendentes que abrem caminho para o sequestro de subdomínios. Assim que um atacante assume o controlo destes subdomínios, pode fazer muita coisa!

Quando se gere um nome de domínio com vários subdomínios, é fácil estar de costas voltadas e manter as portas destrancadas. Quer se trate de uma empresa ou de um pequeno negócio, não proteger os seus subdomínios pode levar a incidentes como o SubdoMailing ou outras formas de abuso de subdomínios. 

Como é que os ataques SubdoMailing funcionam?

Um artigo do Guardio afirma que a empresa descobriu tráfego de correio eletrónico suspeito proveniente de milhares de subdomínios aparentemente legítimos de marcas de renome. Isto incluía grandes nomes como MSN, VMware, McAfee, The Economist, Cornell University, CBS, Marvel, eBay e muitos mais!

Estas mensagens utilizavam um sentido de urgência para manipular os utilizadores a clicar em ligações comprometedoras. Estes redireccionavam os utilizadores para uma avenida de destinos nocivos. Estes links variavam entre anúncios invasivos e sites de phishing mais perigosos que tinham como objetivo roubar informações sensíveis. 

Exemplo de SubdoMailing

Fonte

O exemplo mostrado acima é um caso clássico de SubdoMailing descoberto pelo Guardio. Os e-mails originários de um subdomínio comprometido da Cash App circularam entre milhões de utilizadores. Este e-mail apresentava uma mensagem de aviso para a confirmação de fundos pendentes nas suas contas Cash App. O e-mail continha vários redireccionamentos potencialmente maliciosos.

É muito difícil ignorar anexos de correio eletrónico maliciosos e ligações cuidadosamente elaboradas. Especialmente quando vêm acompanhados de uma mensagem de aviso que exige atenção imediata. Naturalmente, nestas situações, é muito provável que os utilizadores cliquem nas ligações e sejam vítimas de um ciberataque. 

Atributos e características do ataque SubdoMailing  

Os ataques SubdoMailing podem ser projectados para ter altas taxas de sucesso devido às suas características únicas. Guardio explica que o SubdoMailing utiliza tácticas altamente sofisticadas para manipular subdomínios legítimos de marcas tão populares. Esses ataques foram muito difíceis de detetar e exigiram uma investigação minuciosa por parte dos especialistas em segurança cibernética do Guardio. 

Porque é que os ataques de SubdoMailing podem ter uma elevada taxa de sucesso

Vemos um potencial real nos ataques SubdoMailing para prejudicar seriamente vários utilizadores desprevenidos, devido às seguintes características: 

1. Falsificação de marcas conhecidas com uma reputação estabelecida
2. Operando em grande escala, manipulando mais de 8000 domínios e contando
3. Contornar filtros de spam 
4. Contornar os filtros de conteúdo de correio eletrónico através da seleção de mensagens credíveis baseadas em imagens
5. Os atacantes analisam o tipo e a localização do seu dispositivo para lançar ataques mais direccionados 
6. As mensagens de correio eletrónico maliciosas passaram autenticação de correio eletrónico como SPF, DKIM e DMARC

Como é que os e-mails de phishing da SubdoMailing contornam as verificações de autenticação de e-mail?

Vejamos o exemplo de um dos casos de utilização investigados pelo Guardio. O Guardio encontrou vários e-mails de phishing originários de um subdomínio específico do msn.com. 

Após uma inspeção mais detalhada destes e-mails maliciosos, o Guardio descobriu que foram enviados a partir de um servidor baseado na cidade ucraniana de Kyiv. Idealmente, este facto teria sido assinalado como suspeito durante um teste SPF a menos que o endereço IP do servidor fosse autorizado. Ao verificar, descobriu-se que um subdomínio do msn.com tinha autorizado o endereço IP suspeito.

Isto pode dever-se a uma das seguintes razões: 

• Pode tratar-se de uma ameaça interna em que um funcionário do MSN autorizou intencionalmente o endereço IP para enviar mensagens electrónicas de phishing 
• Pode ser um simples caso de erro humano em que o servidor foi involuntariamente autorizado devido a um erro de digitação
• Pode ser uma forma mais avançada de manipulação de DNS em que o subdomínio o subdomínio MSN foi desviado por uma ameaça externa para autorizar o servidor

Um exame mais aprofundado do registo SPF para o subdomínio msn.com, levou os especialistas do Guardio a uma toca de coelho de 17826 endereços IP aninhados que estão autorizados a enviar e-mails em nome do domínio. A complexidade do registo SPF indicava uma abordagem altamente suspeita, mas cuidadosamente elaborada, para manipular os filtros de autenticação. Mais importante ainda, as investigações revelaram que este subdomínio MSN apontava para outro domínio através de um registo DNS CNAME. Assim, uma vez que o atacante comprou o outro domínio, isso permitiu-lhe sequestrar o subdomínio MSN.

Como é que os atacantes conseguiram isto? Vamos descobrir: 

Utilização de subdomínios inactivos/abandonados para SubdoMailing

Guardio utilizou os arquivos da Internet para tentar perceber se o subdomínio msn.com era de facto reivindicado pelo MSN. Acontece que o subdomínio estava ativo há 22 anos. Esteve abandonado durante mais de duas décadas - até recentemente! 

O que aconteceu foi o seguinte: 

• Um agente da ameaça comprou o domínio que estava ligado ao subdomínio. Uma vez que a ligação ainda existia 22 anos mais tarde, conseguiram sequestrar o domínio. 
• Agora eles estavam livres para manipulá-lo da maneira que quisessem! Os atacantes autorizaram os seus próprios servidores no registo SPF do subdomínio, o que lhes permitiu enviar e-mails de phishing autenticados em nome do subdomínio. 
• Utilizaram esta oportunidade para enviar milhões de e-mails fraudulentos sob o disfarce de msn.com, fazendo-se passar por remetentes legítimos. 

Manipulação de registos SPF para SubdoMailing

No caso do SubdoMailing, o registo SPF do subdomínio sequestrado alojava vários domínios abandonados. Estes domínios foram posteriormente adquiridos para autorizar servidores SMTP propriedade do atacante. De acordo com a natureza da política SPF, o subdomínio acaba por autorizar todos estes servidores controlados pelo atacante como remetentes legítimos de correio eletrónico. 

A razão pela qual utilizamos o SPF é para autorizar remetentes legítimos. Isto torna-se muito importante quando uma empresa utiliza fornecedores externos de correio eletrónico para enviar os seus emails. Isto também elimina as hipóteses de fontes fraudulentas enviarem emails em nome de um domínio. Neste caso clássico de manipulação de registos SPF, a vantagem de utilizar o SPF para autenticar e-mails foi abusada para autorizar remetentes maliciosos. 

Prevenção de ataques de SubdoMailing: O que é que as empresas podem fazer?

Uma forma avançada de ataque de sequestro de subdomínio como o SubdoMailing requer uma estratégia de prevenção proactiva. Eis como pode começar: 

Evitar registos DNS pendentes

As entradas de DNS que apontam para domínios que foram desconfigurados ou para servidores que já não estão a ser utilizados podem conduzir ao SubdoMailing. Certifique-se de que actualiza regularmente os seus registos DNS e de que não autoriza fontes desactualizadas. Apenas os domínios ou servidores activos que controla devem ser apontados para os seus registos DNS. Deve também certificar-se de que os seus fornecedores de correio eletrónico mantêm as suas listas de envio limpas e removem os servidores que já não estão a ser utilizados. 

Monitorizar os seus canais de correio eletrónico 

A configuração dos relatórios DMARC não é suficiente, deve ser acompanhada pela monitorização dos relatórios. Como proprietário de um domínio, deve estar sempre ciente das suas práticas de envio de correio eletrónico. Com grandes volumes de correio eletrónico, isto é difícil de conseguir, mesmo com uma caixa de correio dedicada. É por isso que precisa de um fornecedor externo como o PowerDMARC. Ajudamo-lo a monitorizar as suas fontes de envio e a atividade de correio eletrónico num painel de controlo baseado na nuvem com capacidades avançadas de filtragem. Os subdomínios são detectados automaticamente na nossa plataforma, ajudando-o a mantê-los debaixo de olho. Isto permite-lhe descobrir instantaneamente qualquer atividade suspeita! 

Assuma o controlo dos seus subdomínios 

Esta é uma chamada de atenção para reavaliar todas as suas fontes de envio hoje. Comece por efetuar uma verificação SPF com a nossa ferramenta gratuita!

Avalie os mecanismos de "inclusão" no seu estado SPF para verificar os seus domínios e subdomínios incluídos. Estes domínios estão a alojar registos SPF, com endereços IP autorizados a enviar e-mails em nome do seu domínio raiz. Se encontrar um subdomínio que já não utiliza, é altura de remover o "include" para ele. Pode dirigir-se à sua zona de edição de DNS para efetuar as alterações necessárias. 

Dicas adicionais para se proteger contra ataques cibernéticos 

• Certifique-se de que os seus registos CNAME estão sempre actualizados e desactive ou remova os registos CNAME que já não utiliza
• Certifique-se de que os mecanismos SPF no seu registo também estão actualizados e remova quaisquer serviços de envio que já não utilize
• Configure as suas fontes legítimas para enviar e-mails compatíveis com DMARC e defina a sua política DMARC para rejeitar os seus domínios e subdomínios. 
• Proteja os seus domínios e subdomínios estacionados
• Remover subdomínios e registos DNS não utilizados
• Reveja continuamente os e-mails enviados dos seus domínios e subdomínios, configurando relatórios para todos os domínios que possui

Protegendo seus domínios com o PowerDMARC

O PowerDMARC pode ajudá-lo a proteger os seus nomes de domínio! A nossa plataforma foi concebida para permitir que os proprietários de domínios retomem o controlo dos seus próprios domínios através da visibilidade e da monitorização. Ajudamo-lo a manter o controlo das suas fontes de envio e tráfego de e-mail, apresentando detalhes granulares sobre os meandros da sua atividade de e-mail. Isto ajuda-o a detetar padrões invulgares na atividade do seu domínio, IPs maliciosos que se fazem passar pelo seu domínio e até a descobrir localizações geográficas dos servidores que falsificam o nome da sua marca. 

Para iniciar o seu percurso de segurança de domínios connosco, contacte-nos para falar com um especialista hoje mesmo!

• Sobre
• Últimos Posts

Yunes Tarada

Yunes é um Operations Team Lead na PowerDMARC com conhecimentos especializados em autenticação e segurança de correio eletrónico. Yunes é um Microsoft-certified Azure Administrator Associate com certificações em CompTIA A+ e muito mais.

Últimas mensagens de Yunes Tarada (ver todas)

• Como configurar o DMARC no Office 365? Guia passo a passo - 6 de maio de 2024
• Códigos de erro SMTP Yahoo explicados - 1 de maio de 2024
• SPF Softfail Vs Hardfail: Qual é a diferença? - 26 de abril de 2024