Phishing-Angriffe lassen sich in der Regel an den verwendeten Domains erkennen. Diese stimmen nicht mit den offiziellen Domains der Unternehmen überein, in deren Namen die vermeintlich legitimen E-Mails versendet werden. Immer häufiger gelingt es Hackern jedoch, tatsächlich Nachrichten über die offiziellen Domains von Unternehmen zu versenden. Schuld daran sind die Firmen selbst, wenn sie alte Internetadressen brach liegen lassen – ein gefundenes Fressen für Angreifer.

In den letzten Monaten haben die E-Mail-Schutzsysteme von Guardio dementspreichende Muster in den E-Mail-Metadaten identifiziert, insbesondere bei SMTP-Servern und deren Authentifizierung als legitime Absender. Diese Entdeckungen führten zu einer eingehenden Untersuchung, die die Mechanismen hinter dem weit verbreiteten Subdomain-Hijacking und die Hauptakteure der Bedrohung aufdeckte.

Am Spam-Filter vorbei

Ein Beispiel einer gefälschten E-Mail veranschaulicht die Vorgehensweise der Angreifer: Durch geschickte Umleitungen über verschiedene Domains werden Gerätetyp und geografische Position des Empfängers ermittelt, um maßgeschneiderte Inhalte mit dem Ziel der Gewinnmaximierung zu liefern. Die Untersuchung der E-Mail-Header, insbesondere des Authentication-Results-Headers, zeigte, wie diese E-Mails die Authentifizierungs- und Sicherheitsprüfungen großer E-Mail-Anbieter passieren konnten.

Die Kampagne nutzt klassisches Subdomain-Hijacking, bei dem längst vergessene Subdomains mit bestehenden CNAME-Einträgen von aufgegebenen Domains registriert werden, um die Kontrolle zu erlangen. So leitet die Subdomain von "beispiel.legitimedomain.com" auf "altevergessenedomain.com" weiter, wobei die Registrierung letzterer lange ausgelaufen ist. Angreifer registrieren diese nun in ihrem Namen und erhalten damit die Kontrolle über die Inhalte, die über die Subdomain "beispiel.legitimedomain.com" ausgespielt werden, die für die Nutzer vertrauenswürdig erscheint.

Neben dem CNAME-Hijacking entdeckte Guardio das sogenannte SPF-Takeover, bei dem veraltete SPF-Einträge ebenfalls längst aufgegebene Domains enthalten, die von Angreifern leicht übernommen werden können, um anschließend deren IP-Adressen in die SPF-Einträge der Hauptdomain zu injizieren.

Eigene Domains überprüfen

Diese Entdeckungen, die Guardio in einem ausführlichen Blogpost technisch erläutert, zeigen laut den Security-Forschern, dass es sich um eine hochgradig koordinierte Kampagne handelt, die darauf abzielt, diese Ressourcen für die Verbreitung bösartiger "Werbung" zu missbrauchen, um Klicks für die Kunden des Werbenetzwerks zu generieren. 

Durch die Datenanalyse und kontinuierliche DNS- und Whois-Scans konnte Guardio Tausende von "SubdoMailing"-Fällen identifizieren, die auf einen zentralen Bedrohungsakteur namens "ResurrecAds" hindeuten. Dieser Akteur nutzt demnach ein umfangreiches Netzwerk kompromittierter Domains, Server und IP-Adressen und zeigt ein hohes Maß an Organisation und technischer Raffinesse.

Guardio hat den "SubdoMailing"-Checker ins Leben gerufen, um Domain-Administratoren und Website-Betreibern die Möglichkeit zu geben, ihre Domains auf Missbrauch zu überprüfen und die notwendigen Schritte zur Behebung und Prävention einzuleiten.