مجموعة أدوات التصيد الاحتيالي Morphing Meerkat

كشف باحثو الأمن السيبراني عن منصة متطورة للتصيد الاحتيالي كخدمة (PhaaS)، تستغل سجلات تبادل البريد الإلكتروني (MX) لنظام أسماء النطاقات (DNS) لإنشاء صفحات تسجيل دخول مزيفة تحاكي أكثر من 114 علامة تجارية. وقد دأبت الجهة المسؤولة عن هذه العملية، والتي تُعرف باسم Morphing Meerkat، على شن حملات تصيد احتيالي واسعة النطاق لجمع بيانات اعتماد المستخدمين.

كيف يعمل الميركات المتحول

يستخدم المهاجمون أساليب متعددة لنشر روابط التصيد الاحتيالي واستخراج بيانات الاعتماد المسروقة. وتشمل هذه:

• استغلال عمليات إعادة التوجيه المفتوحة: يستغلون نقاط الضعف في البنية التحتية لتكنولوجيا الإعلانات.
• اختراق المجالات: يتم استخدام مواقع الويب المخترقة لاستضافة محتوى التصيد الاحتيالي.
• استخدام Telegram للاستخراج: يتم إرسال بيانات الاعتماد المسروقة إلى الجهات الفاعلة المهددة عبر Telegram.

تضمنت إحدى الحملات الموثقة من يوليو 2024 رسائل تصيد احتيالي عبر البريد الإلكتروني تحتوي على روابط لمستند مُفترض أنه مُشترك. يؤدي النقر على الرابط إلى توجيه المستخدمين إلى صفحة تسجيل دخول مزيفة مُستضافة على Cloudflare R2، حيث يتم جمع بيانات اعتمادهم وإرسالها إلى المهاجمين.

تجاوز الأمن باستخدام تكتيكات ذكية

نجح "الميركات المتحول" في إرسال آلاف رسائل التصيد الاحتيالي متجاوزًا دفاعات الأمان. ويحقق ذلك من خلال:

• استغلال مواقع WordPress المخترقة : استضافة صفحات التصيد الاحتيالي على مواقع ويب شرعية ولكنها مخترقة.
• استغلال ثغرات إعادة التوجيه المفتوحة : استخدام منصات الإعلان مثل DoubleClick المملوكة لشركة Google للتهرب من الكشف الأمني.

وتعمل منصة التصيد الاحتيالي أيضًا على تعزيز فعاليتها من خلال ترجمة المحتوى بشكل ديناميكي إلى لغات متعددة، بما في ذلك الإنجليزية والكورية والإسبانية والروسية والألمانية والصينية واليابانية، مما يسمح لها باستهداف الضحايا في جميع أنحاء العالم.

تقنيات التهرب المتقدمة

يستخدم Morphing Meerkat العديد من تقنيات التحليل المضاد والتعتيم للتهرب من الاكتشاف:

• إخفاء الكود وتضخيمه : يجعل تحليل صفحات التصيد الاحتيالي أكثر صعوبة.

دور سجلات DNS MX في عمليات التصيد الاحتيالي المُصممة خصيصًا

ما يميز Morphing Meerkat عن غيره من تهديدات التصيد الاحتيالي هو استخدامه لسجلات DNS MX لتخصيص هجمات التصيد الاحتيالي. تسترجع مجموعة أدوات التصيد الاحتيالي سجلات MX من Cloudflare أو Google لتحديد مزود خدمة البريد الإلكتروني للضحية - مثل Gmail أو Microsoft Outlook أو Yahoo! - ثم تُقدم صفحة تسجيل دخول مزيفة مطابقة.

إذا لم تتمكن مجموعة التصيد الاحتيالي من التعرّف على سجل MX، فسيتم عرض صفحة تسجيل دخول Roundcube افتراضيًا. يزيد هذا التخصيص الديناميكي من احتمالية النجاح بشكل كبير من خلال جعل تجربة التصيد الاحتيالي تبدو سلسة وحقيقية للضحايا.

لماذا تعتبر طريقة الهجوم هذه غير آمنة

إن القدرة على تخصيص صفحات التصيد الاحتيالي لمزود البريد الإلكتروني للضحية تجعل هذه الحملة خادعة للغاية. فسهولة استخدام صفحة تسجيل الدخول المزيفة، إلى جانب رسالة تصيد احتيالي مُحكمة الصياغة، تزيد من احتمالية إدخال المستخدم لبيانات اعتماده دون علمه.

بالاستفادة من الذكاء القائم على نظام أسماء النطاقات (DNS)، يرتقي مورفينج ميركات بهجمات التصيد الاحتيالي إلى مستوى جديد من التطور، مما يجعل اكتشافها أصعب وأكثر إقناعًا من أي وقت مضى. ويواصل خبراء الأمن السيبراني تتبع وتحليل أساليبه المتطورة للتخفيف من آثاره.