Morphing Surikata Phishing Kit
Výzkumníci v oblasti kybernetické bezpečnosti odhalili sofistikovanou platformu Phishing-as-a-Service (PhaaS), která využívá záznamy o výměně pošty (MX) systému doménových jmen (DNS) k vytváření falešných přihlašovacích stránek napodobujících více než 114 značek. Aktér za touto operací, sledovaný pod pseudonymem Morphing Meerkat, se zapojuje do rozsáhlých phishingových kampaní, aby získal přihlašovací údaje uživatelů.
Obsah
Jak funguje Morphing Surikata
Útočníci používají různé taktiky k distribuci phishingových odkazů a exfiltraci ukradených přihlašovacích údajů. Patří sem:
- Využívání otevřených přesměrování: Využívají zranitelnosti v infrastruktuře adtech.
- Kompromitující domény: Napadené webové stránky se používají k hostování phishingového obsahu.
- Použití telegramu pro exfiltraci: Ukradené přihlašovací údaje se odesílají aktérům hrozby prostřednictvím telegramu.
Jedna zdokumentovaná kampaň z července 2024 zahrnovala phishingové e-maily obsahující odkazy na údajný sdílený dokument. Kliknutí na odkaz přesměrovalo uživatele na padělanou přihlašovací stránku hostovanou na Cloudflare R2, kde byly shromážděny jejich přihlašovací údaje a odeslány útočníkům.
Obcházení bezpečnosti pomocí chytré taktiky
Morphing Surikata úspěšně doručila tisíce phishingových e-mailů a obešla přitom bezpečnostní obranu. Dosahuje toho:
- Využití kompromitovaných webů WordPress : Hostování phishingových stránek na legitimních, ale hacknutých webech.
- Využívání zranitelností otevřeného přesměrování : Používání inzertních platforem, jako je DoubleClick vlastněné společností Google, k vyhnutí se bezpečnostní detekci.
Phishingová platforma také zvyšuje svou efektivitu dynamickým překladem obsahu do více jazyků, včetně angličtiny, korejštiny, španělštiny, ruštiny, němčiny, čínštiny a japonštiny, což jí umožňuje zaměřit se na oběti po celém světě.
Pokročilé únikové techniky
Morphing Surikata využívá několik antianalýzových a zatemňovacích technik, aby se vyhnula detekci:
- Obfuskace a inflace kódu : Ztěžuje analýzu phishingových stránek.
- Zakázání klepnutí pravým tlačítkem a klávesových zkratek: Brání bezpečnostním výzkumníkům v rychlém zobrazení nebo uložení zdrojového kódu phishingové stránky.
Role DNS MX záznamů v přizpůsobeném phishingu
To, co odlišuje Morphing Meerkat od ostatních phishingových hrozeb, je použití záznamů DNS MX k přizpůsobení phishingových útoků. Phishingová sada získává záznamy MX z Cloudflare nebo Google, aby identifikovala poskytovatele e-mailových služeb oběti – jako je Gmail, Microsoft Outlook nebo Yahoo! – a poté zobrazí odpovídající falešnou přihlašovací stránku.
Pokud phishing kit nerozpozná záznam MX, ve výchozím nastavení zobrazí přihlašovací stránku Roundcube. Toto dynamické přizpůsobení výrazně zvyšuje pravděpodobnost úspěchu tím, že se phishing jeví jako bezproblémový a autentický pro oběti.
Proč je tato metoda útoku nebezpečná
Díky schopnosti přizpůsobit phishingové stránky poskytovateli e-mailu oběti je tato kampaň obzvláště klamavá. Známost falešné přihlašovací stránky ve spojení s dobře vytvořeným phishingovým e-mailem zvyšuje pravděpodobnost, že uživatel nevědomky zadá své přihlašovací údaje.
Využitím inteligence založené na DNS povyšuje Morphing Meerkat phishingové útoky na novou úroveň sofistikovanosti, takže je obtížnější odhalit a jsou přesvědčivější než kdykoli předtím. Odborníci na kybernetickou bezpečnost nadále sledují a analyzují její vyvíjející se taktiku, aby zmírnili její dopad.
