Microsoft révèle les détails de la campagne de spam majeure et comment elle reste en ligne
Microsoft a récemment détaillé une vaste campagne de spam qu'il suivait depuis plusieurs mois. Le réseau de spam envoyait plus d'un million d'e-mails par mois à son apogée, diffusant sept types de logiciels malveillants différents et ciblant les victimes dans le monde entier.
Microsoft détaille une campagne massive de spam
Microsoft a suivi la campagne de spam de mars à décembre 2020, découvrant et détaillant progressivement «l'architecture tentaculaire» qui, en raison de sa taille, avait suffisamment de pouvoir pour paraître légitime aux yeux des fournisseurs de messagerie.
Selon le blog Microsoft Security , la campagne de spam a ciblé de nombreux pays à travers le monde, avec des volumes élevés aux États-Unis, au Royaume-Uni et en Australie. Les e-mails de spam se sont concentrés sur des cibles dans les secteurs de la distribution en gros, des services financiers et de la santé, en utilisant une variété d'appâts de phishing et de tactiques de spam.
Les premiers indicateurs de la campagne de spam sont apparus en mars 2020. Microsoft a attribué le nom «StrangeU», car de nombreux modèles de dénomination de domaine de spam utilisaient fréquemment le mot «étrange». Un deuxième algorithme de génération de domaine serait découvert à une date ultérieure, prenant le nom de «RandomU».
Microsoft note également que l'augmentation de la campagne de spam a coïncidé avec un retrait mondial du botnet Necurs, auquel Microsoft a également participé. Avant sa perturbation, Necurs était l'un des botnets de spam les plus prolifiques, permettant à d'autres criminels d'accéder au réseau moyennant des frais .
Les infrastructures StrangeU et RandomU semblent combler le déficit de service créé par la perturbation Necurs, prouvant que les attaquants sont très motivés pour s'adapter rapidement aux interruptions temporaires de leurs opérations.
L'un des plus grands points à retenir du rapport de Microsoft est que le monde du spam est étroitement lié. Les réseaux et les campagnes de spam utilisent une infrastructure de paiement à l'accès pour atteindre leurs objectifs, parfois même si un botnet existant est opérationnel.
Tenter de diversifier la sortie de spam est une étape vers la protection de l'opération globale, en se protégeant contre les techniques d'analyse automatisées souvent utilisées pour perturber et détruire les réseaux de spam.
StrangeU et RandomU atteignent une large gamme de cibles
L'infrastructure du réseau de spam a été utilisée pour diffuser plusieurs campagnes de malwares au cours de neuf mois:
- Avril et juin: campagnes coréennes de spear-phishing qui ont livré le ransomware Makop
- Avril: notifications d'alerte d'urgence qui ont distribué le malware Mondfoxia
- Juin: Black Lives Matter leurre qui a livré le malware Trickbot
- Juin et juillet: campagne Dridex livrée via StrangeU
- Août: campagne Dofoil (SmokeLoader)
- Septembre – novembre: activités Emotet et Dridex
La recherche de Microsoft détaille l'approche modulaire que les attaquants continuent d'adopter concernant les logiciels malveillants, les botnets et la distribution de spam. L'approche modulaire des logiciels malveillants permet aux attaquants de rester polyvalents dans leur approche de la distribution, garantissant que toute opération de retrait ou de perturbation doit couvrir une grande quantité d'infrastructure avant de faire une véritable indentation.