日前，Guardio Labs揭露了SubdoMailing這個網(wǎng)絡(luò)攻擊活動。據(jù)悉，這項攻擊最早可追溯至2022年，黑客已經(jīng)成功入侵并控制了超過8000個受信任的頂級域名及子域，涉及眾多知名企業(yè)。例如MSN、VMware、McAfee等，規(guī)模之大令人震驚。

Nati Tal與Oleg Zaytsev兩位學(xué)者分析發(fā)現(xiàn)，攻擊者正是借助他們所劫持得到的這些域名來廣泛發(fā)送含有惡意鏈接的電子郵件，以此進(jìn)行非法廣告收益。該惡意鏈接的下拉菜單設(shè)計了按鈕，用戶隨手一點(diǎn)便會不知不覺地完成一連串的重定向操作，為黑客提供了無數(shù)的盈利機(jī)會。

他們進(jìn)一步解釋，這些重定向效驗(yàn)設(shè)備型號和地理定位，指向量身定制以實(shí)現(xiàn)利潤最大化的內(nèi)容。然而，他們指出，并非所有的重定向都內(nèi)置了詐騙性的廣告，有些也可能是引導(dǎo)用戶前往釣魚站點(diǎn)。更嚴(yán)重的是，部分郵件實(shí)際上下載了惡意軟件，意圖竊取用戶財物。

根據(jù)報導(dǎo)，這個活動自2022年起已存在，巧妙地運(yùn)用SPF和DKIM電郵策略，每天經(jīng)由安全電郵網(wǎng)關(guān)發(fā)送大量網(wǎng)絡(luò)釣魚郵件。此外，黑客還將郵件設(shè)計成圖像格式，以規(guī)避基于文本的垃圾郵件過濾器，并且，由于郵件來源于知名的信譽(yù)域名，黑客幾乎得以成功逃避偵測。