Morphing Meerkat Phishing Kit
Изследователите на киберсигурността са разкрили сложна платформа Phishing-as-a-Service (PhaaS), която използва записите за обмен на поща (MX) на системата за имена на домейни (DNS), за да създаде фалшиви страници за вход, имитиращи над 114 марки. Актьорът зад тази операция, проследяван под псевдонима Morphing Meerkat, участва в широкомащабни фишинг кампании за събиране на потребителски идентификационни данни.
Съдържание
Как работи трансформиращият се сурикат
Нападателите използват множество тактики за разпространение на фишинг връзки и ексфилтриране на откраднати идентификационни данни. Те включват:
- Използване на отворени пренасочвания: Те се възползват от уязвимости в инфраструктурата на рекламните технологии.
- Компрометиращи домейни: Хакнати уебсайтове се използват за хостване на фишинг съдържание.
- Използване на Telegram за ексфилтрация: Откраднатите идентификационни данни се изпращат до участниците в заплахата чрез Telegram.
Една документирана кампания от юли 2024 г. включваше фишинг имейли, съдържащи връзки към предполагаем споделен документ. Щракването върху връзката насочва потребителите към фалшива страница за вход, хоствана на Cloudflare R2, където техните идентификационни данни са събрани и изпратени на нападателите.
Заобикаляне на сигурността с хитри тактики
Morphing Meerkat успешно достави хиляди фишинг имейли, като заобиколи защитите за сигурност. Той постига това чрез:
- Използване на компрометирани WordPress сайтове : Хостинг на фишинг страници на законни, но хакнати уебсайтове.
- Използване на уязвимости при отворено пренасочване : Използване на рекламни платформи като DoubleClick, собственост на Google, за избягване на откриването на сигурността.
Фишинг платформата също така подобрява ефективността си чрез динамичен превод на съдържание на множество езици, включително английски, корейски, испански, руски, немски, китайски и японски, което й позволява да се насочва към жертви по целия свят.
Усъвършенствани техники за избягване
Morphing Meerkat използва няколко техники за анти-анализ и обфускация, за да избегне откриването:
- Обърканост и инфлация на кода : Прави фишинг страниците по-трудни за анализиране.
Ролята на DNS MX записите в персонализирания фишинг
Това, което отличава Morphing Meerkat от другите фишинг заплахи, е използването на DNS MX записи за персонализиране на фишинг атаки. Комплектът за фишинг извлича MX записи от Cloudflare или Google, за да идентифицира доставчика на имейл услуги на жертвата – като Gmail, Microsoft Outlook или Yahoo! – и след това обслужва съответстваща фалшива страница за вход.
Ако комплектът за фишинг не успее да разпознае MX записа, той по подразбиране показва страница за влизане в Roundcube. Тази динамична персонализация значително увеличава вероятността за успех, като прави изживяването с фишинг да изглежда безпроблемно и автентично за жертвите.
Защо този метод на атака не е безопасен
Възможността да се адаптират фишинг страници към имейл доставчика на жертвата прави тази кампания особено измамна. Познаването на фалшивата страница за вход, съчетано с добре изработен фишинг имейл, увеличава шансовете потребителят да въведе несъзнателно своите идентификационни данни.
Чрез използване на DNS базирана интелигентност, Morphing Meerkat издига фишинг атаките до ново ниво на сложност, което ги прави по-трудни за откриване и по-убедителни от всякога. Експертите по киберсигурност продължават да проследяват и анализират развиващите се тактики, за да смекчат въздействието му.
