Miljoner människor tros ha nåtts av skräppost som gör reklam för webbsidorna som nu stängts ner av Palo Alto Networks och GoDaddy. De som ligger bakom kampanjen har skapat subdomäner utan att de som äger domänen känt till det, för att på så sätt öka trovärdigheten hos sajterna.

På webbsidorna säljs olika typer av medicinska produkter, som till exempel bantningspiller, ”brain boosters” och cannabisolja. Ofta utnyttjas helt påhittade kändisrekommendationer, där bland andra Stephen Hawking och Jennifer Lopez påstås vara positiva till produkterna.

Webbplatserna identifierades av researchers på Palo Alto Networks som undersökt en massiv skräppostkampanj som syftar till att lura människor att skriva upp sig på dyrbara abonnemang på olika mirakelmediciner. Företagets researchers hittade likheter i formen hos stora mängder webbplatser och en närmare granskning visar att det rör sig om hackade underdomäner som fanns hos GoDaddy.

Hundratals av GoDaddys kunder har blivit hackade genom att någon fick tillgång till deras egna inloggningsuppgifter. Sannolikt har detta skett genom phishingmejl som lurar kunderna att ge ut lösenord, och även genom ”credential stuffing”, alltså när hackare använder lösenordet från ett konto för att få tillgång till andra konton. GoDaddy stängde under mars ner de underdomäner som använts och krävde att kunderna ändrade lösenord.

Skräpposten använde länkar till webbplatser på de hackade underdomänerna. Domänerna var avsedda att framstå som trovärdiga, för att fler skulle våga klicka på länken. Från den första webbsidan skickades besökarna vidare till en annan webbplats, där de medicinska produkterna såldes.