Microsoft a récemment détaillé une vaste campagne de spam qu'il suivait depuis plusieurs mois. Le réseau de spam envoyait plus d'un million d'e-mails par mois à son apogée, diffusant sept types de logiciels malveillants différents et ciblant les victimes dans le monde entier.
Microsoft a suivi la campagne de spam de mars à décembre 2020, découvrant et détaillant progressivement "l'architecture tentaculaire" qui, en raison de sa taille, avait suffisamment de puissance pour paraître légitime aux fournisseurs de messagerie.
Selon le blog Microsoft Security, la campagne de spam a ciblé de nombreux pays à travers le monde, avec des volumes élevés aux États-Unis, au Royaume-Uni et en Australie. Les e-mails de spam ciblaient des cibles dans les secteurs de la distribution en gros, des services financiers et de la santé, en utilisant une variété de leurres de phishing et de tactiques de spam.
Les premiers indicateurs de la campagne de spam sont apparus en mars 2020. Microsoft a attribué le nom "StrangeU", car de nombreux modèles de dénomination de domaine de spam utilisaient fréquemment le mot "étrange". Un second algorithme de génération de domaine sera découvert ultérieurement, prenant le nom de "RandomU".
Microsoft note également que l'augmentation de la campagne de spam a coïncidé avec un démantèlement mondial du botnet Necurs, auquel Microsoft a également participé. Avant sa perturbation, Necurs était l'un des botnets de spam les plus prolifiques, permettant à d'autres criminels d'accéder au réseau moyennant des frais. .
L'infrastructure StrangeU et RandomU semble combler le vide de service créé par la perturbation de Necurs, prouvant que les attaquants sont très motivés pour s'adapter rapidement aux interruptions temporaires de leurs opérations.
L'un des principaux enseignements du rapport de Microsoft est que le monde du spam est étroitement lié. Les réseaux et les campagnes de spam utilisent une infrastructure payante pour atteindre leurs objectifs, parfois même s'ils disposent d'un botnet existant et opérationnel.
Tenter de diversifier la sortie de spam est une étape vers la protection de l'ensemble des opérations, en se prémunissant contre les techniques d'analyse automatisées souvent utilisées pour perturber et détruire les réseaux de spam.
L'infrastructure du réseau de spam a été utilisée pour diffuser plusieurs campagnes de logiciels malveillants sur une période de neuf mois :
Les recherches de Microsoft détaillent l'approche modulaire que les attaquants continuent d'adopter en ce qui concerne la distribution de logiciels malveillants, de botnets et de spam. L'approche modulaire des logiciels malveillants permet aux attaquants de rester polyvalents dans leur approche de la distribution, garantissant que toute opération de retrait ou de perturbation doit couvrir une grande partie de l'infrastructure avant de faire une véritable indentation.
