Исследователь в области безопасности сообщил о масштабной злонамеренной рассылке вредоносных писем, которую он наблюдал на протяжении последних двух дней. Специалист отмечает сотни, если не тысячи легитимных доменов, которые вовлечены во вредоносную рассылку.
По словам исследователя, письма приходят от серверов и хостеров, расположенных либо в России, либо в Украине, либо в Индии. Некоторые из фигурирующих доменов были зарегистрированы более 10 лет назад.
«Единственная общая черта, которую мне удалось обнаружить между всеми этими доменами, — они используют DNS-серверы Godaddy — “Domaincontrol.com“. <…> Я считаю, что name-серверы Godaddy были скомпрометированы, чтобы придать вредоносным письмам легитимный вид», — пишет специалист.
Эксперт приводит следующий диапазон IP и серверов, вовлеченных в кампанию:
- 103.242.116.* AS133296 Web Werks India Pvt. Ltd.
- 103.242.117.* AS133296 Web Werks India Pvt. Ltd.
- 193.233.30.* mgnhost.ru AS202423 PE Viktor Tyurin.
- 109.106.2.* AS48352 IP Starcev Eugenii Borisovich
