Des millions d'e-mails frauduleux sont quotidiennement envoyés par un unique acteur malveillant. Et, le pire, c'est qu'ils ne sont pas toujours considérés comme indésirables.
Les spams et les boîtes mail, c'est une guerre qui dure depuis de nombreuses années et qui ne semble pas prête de s'arrêter. Ces messages intempestifs sont une véritable nuisance que tout le monde veut éviter, d'autant plus qu'ils peuvent s'avérer dangereux.
Escroqueries, virus informatiques, vols de données : voilà ce que les fournisseurs de services mails tentent de nous éviter, généralement avec succès. Mais, voilà, les pirates parviennent régulièrement à passer entre les mailles du filet, à l'instar d'un certain « ResurrecAds ».
Quand eBay vous avertit d'une nouvelle connexion sur votre compte Facebook
Les chercheurs de Guardio ont fait une découverte plutôt intéressante en examinant les métadonnées de courriers électroniques : ils ont mis au jour une vaste campagne de fraude publicitaire qui diffuserait plus de cinq millions d'e-mails par jour et baptisée « SubdoMailing ».
Ce nom suggère la principale caractéristique de cette opération : elle utilise plus de 8 000 noms de domaine et 13 000 sous-domaines, et pas n'importe lesquels. Ses instigateurs sont capables d'utiliser les adresses de sociétés aussi connues qu'eBay, Marvel, MSN, McAfee et même celle des autorités de la ville de New York, pour se faire passer pour un acteur de confiance. Les filtres anti-spam sont ainsi plus facilement trompés, et on peut supposer que de nombreux utilisateurs le sont tout autant.
Le contenu de ces spams n'est pas particulièrement original et n'est pas nécessairement lié aux noms de domaine utilisés. Gardio Labs donne l'exemple d'un courriel se faisant passer pour un service de stockage dans le cloud qui avertit les utilisateurs que leur espace est presque plein. Il invite ensuite à passer à un forfait payant offrant plus de Go, le tout en utilisant une adresse en @healthylifes.uk.com. Pas très crédible, donc, mais l'illusion reste impressionnante.
Une opération en cours depuis de nombreux mois
Bien entendu, les liens contenus dans tous ces courriels ne mènent pas aux services contrefaits pour tromper les utilisateurs. Ceux-ci sont redirigés vers une série de sites contenant de nombreuses publicités, pour la plupart frauduleuses mais générant des revenus. Au bout du compte, les victimes les plus crédules se retrouveront confrontées à des pages web promettant des cadeaux qui n'existent pas, alarmant sur de fausses menaces virales pour leur ordinateur, ou utilisant toute autre technique d'escroquerie en ligne que nous connaissons maintenant assez bien.
Selon Nati Tal et Oleg Zaytsev, de Guardio, « ResurrecAds » analyse un grand nombre d'adresses à la recherche d'enregistrements CNAME ou SPF pointant vers des domaines externes qui ne sont plus utilisés. Lorsqu'il en trouve, il en prend possession en utilisant NameCheap, par exemple, un service d'hébergement web et d'enregistrement de noms de domaine pourtant parfaitement légal.
Selon les chercheurs, l'acteur malveillant incriminé exploite près de 22 000 adresses IP uniques réparties dans le monde entier, donc près d'un millier provenant de proxys résidentiels. Une opération dont les bénéfices ne sont pas encore connus, mais qui serait en cours depuis… 2022.
Source : Bleeping Computer