Guardio Labs揭秘SubdoMailing網(wǎng)絡(luò)攻擊活動(dòng)：每日發(fā)送數(shù)百萬(wàn)封惡意郵件

日前，Guardio Labs揭露了SubdoMailing這個(gè)網(wǎng)絡(luò)攻擊活動(dòng)。據(jù)悉，這項(xiàng)攻擊最早可追溯至2022年，黑客已經(jīng)成功入侵并控制了超過(guò)8000個(gè)受信任的頂級(jí)域名及子域，涉及眾多知名企業(yè)。例如MSN、VMware、McAfee等，規(guī)模之大令人震驚。

Nati Tal與Oleg Zaytsev兩位學(xué)者分析發(fā)現(xiàn)，攻擊者正是借助他們所劫持得到的這些域名來(lái)廣泛發(fā)送含有惡意鏈接的電子郵件，以此進(jìn)行非法廣告收益。該惡意鏈接的下拉菜單設(shè)計(jì)了按鈕，用戶隨手一點(diǎn)便會(huì)不知不覺(jué)地完成一連串的重定向操作，為黑客提供了無(wú)數(shù)的盈利機(jī)會(huì)。

他們進(jìn)一步解釋?zhuān)@些重定向效驗(yàn)設(shè)備型號(hào)和地理定位，指向量身定制以實(shí)現(xiàn)利潤(rùn)最大化的內(nèi)容。然而，他們指出，并非所有的重定向都內(nèi)置了詐騙性的廣告，有些也可能是引導(dǎo)用戶前往釣魚(yú)站點(diǎn)。更嚴(yán)重的是，部分郵件實(shí)際上下載了惡意軟件，意圖竊取用戶財(cái)物。

根據(jù)報(bào)導(dǎo)，這個(gè)活動(dòng)自2022年起已存在，巧妙地運(yùn)用SPF和DKIM電郵策略，每天經(jīng)由安全電郵網(wǎng)關(guān)發(fā)送大量網(wǎng)絡(luò)釣魚(yú)郵件。此外，黑客還將郵件設(shè)計(jì)成圖像格式，以規(guī)避基于文本的垃圾郵件過(guò)濾器，并且，由于郵件來(lái)源于知名的信譽(yù)域名，黑客幾乎得以成功逃避偵測(cè)。