GoDaddy haalt 15.000 subdomeinen die bij scams gebruikt werden offline

Abonneer je gratis op Techzine!

Webhostingprovider en domeinregistratiebedrijf GoDaddy heeft ruim 15.000 subdomeinen offline gehaald. De subdomeinen werden gebruikt als onderdeel van een spam-operatie, die gebruikers verleidde om naar webpagina’s te komen die neppe producten verkochten. 

Gebruikers ontvingen daarbij een spammail die een product promoot, schrijft ZDNet. Klikt een gebruiker op een link in de mail, dan komt hij terecht op een van de subdomeinen die gehost werden op legitieme sites. De eigenaren van die legitieme websites wisten daar niets vanaf.

Alle subdomeinen verkochten producten die steun leken te krijgen van beroemdheden. De namen van onder meer Stephen Hawking, Jennifer Lopez, Gwen Stefani, Blake Shelton en Wolf Blitzer kwamen daarbij naar boven. De meeste producten die via de subdomeinen werden getoond waren breinsupplementen, CBD-olie en pillen om af te vallen.

Het netwerk aan subdomeinen werd ontdekt door beveiligingsonderzoeker Jeff White van Palo Alto Networks. De domeinen van de groep werden twee jaar geleden ontdekt, waarna White ook een onderzoek startte naar hun operaties. Sindsdien verzamelt de onderzoeker spammail die de scammers hebben verstuurd, en indexeert hij de URL’s van de subdomeinen die de neppe producten promoten. White deelde zijn bevindingen eerder dit jaar met GoDaddy, waar de meeste domeinen gehost worden.

Onderzoek

De hostingpartij heeft nu eigen onderzoek uitgevoerd. Het bedrijf denkt dat de scammer-groep de afgelopen jaren phishing- of credential stuffing-aanvallen gebruikt om toegang te krijgen tot accounts van zijn klanten. Als dat gelukt is, maakten de scammers een subdomein aan voor de legitieme website. Dat subdomein wordt later gebruikt om een van de productpagina’s te hosten.

De hostingpartij stelt dat er honderden accounts gehackt zijn. Nadat het de ruim 15.000 subdomeinen offline had gehaald, heeft GoDaddy ook de wachtwoorden voor gehackte accounts gereset en gebruikers op de hoogte gesteld. Gebruikers kunnen vervolgens zelf bepalen of de inbrekers andere malware hebben achtergelaten in de accounts.