Mais de 8.000 domínios e 13.000 subdomínios pertencentes a marcas legítimas e instituições foram sequestrados como parte de uma arquitetura de distribuição sofisticada para a proliferação de spam e monetização de cliques. Os e-mails variam desde alertas falsos de entrega de pacotes até phishing direto para credenciais de contas.

Em particular, a campanha aproveita a confiança associada a esses domínios para circular spam e e-mails de phishing maliciosos aos milhões todos os dias, usando astutamente sua credibilidade e recursos roubados para escapar das medidas de segurança. Esses subdomínios pertencem ou são afiliados a grandes marcas e organizações como ACLU, eBay, Lacoste, Marvel, McAfee, MSN, Pearson, PwC, Swatch, Symantec, The Economist, UNICEF e VMware, entre outros.

A campanha é notável por sua capacidade de contornar bloqueios de segurança padrão, com todo o corpo concebido como uma imagem para evitar filtros de spam baseados em texto, clicando no qual inicia uma série de redirecionamentos através de diferentes domínios.

“Esses redirecionamentos verificam o tipo de dispositivo e a localização geográfica, levando a conteúdo personalizado para maximizar o lucro”, explicaram os pesquisadores. Isso pode ser qualquer coisa, desde um anúncio irritante ou link de afiliado até táticas mais enganosas como golpes de quiz, sites de phishing ou até mesmo um download de malware destinado a enganá-lo para tirar seu dinheiro de forma mais direta.