Microsoft revela detalles de una importante campaña de spam y cómo se mantiene en línea
Microsoft detalló recientemente una extensa campaña de spam que había estado rastreando durante varios meses. La red de spam enviaba más de un millón de correos electrónicos por mes en su punto máximo, propagando siete tipos diferentes de malware y apuntando a víctimas en todo el mundo.
Microsoft detalla la campaña de spam masivo
Microsoft rastreó la campaña de spam desde marzo hasta diciembre de 2020, descubriendo y detallando gradualmente una "arquitectura en expansión" que, debido a su tamaño, tenía suficiente poder para parecer legítima a los proveedores de correo.
Según el blog de seguridad de Microsoft , la campaña de spam se dirigió a muchos países de todo el mundo, con grandes volúmenes en EE. UU., Reino Unido y Australia. Los correos electrónicos no deseados se centraron en objetivos de la distribución mayorista, los servicios financieros y las industrias de la salud, utilizando una variedad de señuelos de phishing y tácticas de spam.
Los primeros indicadores de la campaña de spam aparecieron en marzo de 2020. Microsoft asignó el nombre "StrangeU", ya que muchos de los patrones de nombres de dominios de spam utilizan con frecuencia la palabra "extraño". Un segundo algoritmo de generación de dominio se descubriría en una fecha posterior, con el nombre "RandomU".
Microsoft también señala que el aumento de la campaña de spam coincidió con un derribo global de la botnet Necurs, en la que Microsoft también participó. Antes de su interrupción, Necurs era una de las botnets de spam más prolíficas, permitiendo a otros delincuentes acceder a la red por una tarifa .
La infraestructura de StrangeU y RandomU parece llenar la brecha de servicio que creó la interrupción de Necurs, lo que demuestra que los atacantes están muy motivados para adaptarse rápidamente a las interrupciones temporales de sus operaciones.
Una de las conclusiones más importantes del informe de Microsoft es que el mundo del spam está muy interconectado. Las redes y campañas de spam utilizan una infraestructura de pago por acceso para promover sus objetivos, a veces incluso si tienen una botnet existente en funcionamiento.
Intentar diversificar la salida de spam es un paso hacia la protección de la operación en general, protegiéndose contra las técnicas de análisis automatizado que a menudo se utilizan para interrumpir y destruir las redes de spam.
StrangeU y RandomU alcanzan una amplia gama de objetivos
La infraestructura de la red de spam se utilizó para realizar varias campañas de malware en el transcurso de nueve meses:
- Abril y junio: campañas coreanas de spear-phishing que entregaron Makop ransomware
- Abril: notificaciones de alerta de emergencia que distribuyeron el malware Mondfoxia
- Junio: señuelo Black Lives Matter que entregó el malware Trickbot
- Junio y julio: campaña de Dridex entregada a través de StrangeU
- Agosto: campaña Dofoil (SmokeLoader)
- Septiembre – noviembre: actividades de Emotet y Dridex
La investigación de Microsoft detalla el enfoque modular que los atacantes siguen adoptando con respecto al malware, las redes de bots y la distribución de spam. El enfoque de malware modular permite a los atacantes seguir siendo versátiles en su enfoque de distribución, lo que garantiza que cualquier operación de eliminación o interrupción debe cubrir una gran cantidad de infraestructura antes de realizar una sangría real.