Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Phishing Kit de pesca Morphing Meerkat

Kit de pesca Morphing Meerkat

El Mezo el Phishing, Programari maliciós
Traduir a:
Català

Els investigadors de ciberseguretat han descobert una sofisticada plataforma Phishing-as-a-Service (PhaaS) que explota els registres d'intercanvi de correu (MX) del sistema de noms de domini (DNS) per crear pàgines d'inici de sessió falses que imiten més de 114 marques. L'actor darrere d'aquesta operació, rastrejat sota l'àlies Morphing Meerkat, s'ha involucrat en campanyes de pesca a gran escala per recollir les credencials dels usuaris.

Com funciona el Morphing Meerkat

Els atacants utilitzen múltiples tàctiques per distribuir enllaços de pesca i exfiltrar les credencials robades. Aquests inclouen:

  • Aprofitant les redireccions obertes: aprofiten les vulnerabilitats de la infraestructura adtech.
  • Dominis compromesos: els llocs web piratejats s'utilitzen per allotjar contingut de pesca.
  • Ús de Telegram per a l'exfiltració: les credencials robades s'envien als actors d'amenaça mitjançant Telegram.

Una campanya documentada del juliol de 2024 va implicar correus electrònics de pesca que contenien enllaços a un suposat document compartit. En fer clic a l'enllaç, els usuaris van dirigir-se a una pàgina d'inici de sessió falsificada allotjada a Cloudflare R2, on les seves credencials es van recollir i enviar als atacants.

Evitant la seguretat amb tàctiques intel·ligents

El Morphing Meerkat ha enviat amb èxit milers de correus electrònics de pesca i evita les defenses de seguretat. Això ho aconsegueix mitjançant:

  • Aprofitament de llocs de WordPress compromesos : allotjar pàgines de pesca en llocs web legítims però piratejats.
  • Explotació de vulnerabilitats de redirecció oberta : ús de plataformes publicitàries com DoubleClick, propietat de Google, per evadir la detecció de seguretat.

La plataforma de pesca també millora la seva eficàcia mitjançant la traducció dinàmica de contingut a diversos idiomes, com ara l'anglès, el coreà, l'espanyol, el rus, l'alemany, el xinès i el japonès, cosa que li permet orientar-se a víctimes de tot el món.

Tècniques d’evasió avançades

El Morphing Meerkat utilitza diverses tècniques antianàlisi i ofuscació per evitar la detecció:

  • Ofuscament i inflació del codi : fa que les pàgines de pesca siguin més difícils d'analitzar.
  • Desactivació del clic dret i les tecles d'accés directe: impedeix que els investigadors de seguretat vegin o desin ràpidament el codi font de la pàgina de pesca.

El paper dels registres DNS MX en la pesca personalitzada

El que diferencia Morphing Meerkat d'altres amenaces de pesca és el seu ús de registres DNS MX per personalitzar els atacs de pesca. El kit de pesca recupera els registres MX de Cloudflare o Google per identificar el proveïdor de serveis de correu electrònic de la víctima, com ara Gmail, Microsoft Outlook o Yahoo!, i després ofereix una pàgina d'inici de sessió falsa coincident.

Si el kit de pesca no reconeix el registre MX, per defecte mostrarà una pàgina d'inici de sessió de Roundcube. Aquesta personalització dinàmica augmenta significativament la probabilitat d'èxit perquè l'experiència de pesca sembli perfecta i autèntica per a les víctimes.

Per què aquest mètode d’atac no és segur

La capacitat d'adaptar les pàgines de pesca al proveïdor de correu electrònic de la víctima fa que aquesta campanya sigui especialment enganyosa. La familiaritat de la pàgina d'inici de sessió falsa, juntament amb un correu electrònic de pesca ben dissenyat, augmenta les possibilitats que un usuari introdueixi les seves credencials sense saber-ho.

Aprofitant la intel·ligència basada en DNS, el Morphing Meerkat eleva els atacs de pesca a un nou nivell de sofisticació, fent-los més difícils de detectar i més convincents que mai. Els experts en ciberseguretat continuen fent un seguiment i analitzant les seves tàctiques en evolució per mitigar-ne l'impacte.

Tendència

Més vist

Carregant...