Rabattilbud med flere licenser
Trusseldatabase Phishing Morphing Meerkat Phishing Kit

Morphing Meerkat Phishing Kit

Med Mezo i Phishing, Malware
Oversæt til:
Dansk

Cybersikkerhedsforskere har afsløret en sofistikeret Phishing-as-a-Service (PhaaS) platform, der udnytter Domain Name System (DNS) postudvekslingsregistreringer (MX) til at skabe falske login-sider, der efterligner over 114 brands. Aktøren bag denne operation, sporet under aliaset Morphing Meerkat, har deltaget i storstilede phishing-kampagner for at høste brugeroplysninger.

Hvordan Morphing Meerkat fungerer

Angriberne anvender flere taktikker til at distribuere phishing-links og eksfiltrere stjålne legitimationsoplysninger. Disse omfatter:

  • Udnyttelse af åbne omdirigeringer: De udnytter sårbarheder i adtech-infrastruktur.
  • Kompromitterende domæner: Hackede websteder bruges til at hoste phishing-indhold.
  • Brug af Telegram til Exfiltration: Stjålne legitimationsoplysninger sendes til trusselsaktører via Telegram.

En dokumenteret kampagne fra juli 2024 involverede phishing-e-mails, der indeholdt links til et formodet delt dokument. Ved at klikke på linket ledte brugerne til en falsk login-side, der var hostet på Cloudflare R2, hvor deres legitimationsoplysninger blev indsamlet og sendt til angriberne.

Omgå sikkerhed med smarte taktikker

Morphing Meerkat har med succes leveret tusindvis af phishing-e-mails, mens de har omgået sikkerhedsforsvar. Det opnås ved at:

  • Udnyttelse af kompromitterede WordPress-websteder : Hosting af phishing-sider på legitime, men hackede websteder.
  • Udnyttelse af åbne omdirigeringssårbarheder : Brug af annonceringsplatforme som Google-ejede DoubleClick til at undgå sikkerhedsdetektering.

Phishing-platformen forbedrer også dens effektivitet ved dynamisk at oversætte indhold til flere sprog, herunder engelsk, koreansk, spansk, russisk, tysk, kinesisk og japansk, så den kan målrette mod ofre over hele verden.

Avancerede undvigelsesteknikker

The Morphing Meerkat anvender adskillige antianalyse- og sløringsteknikker for at undgå påvisning:

  • Code Obfuscation & Inflation : Gør phishing-siderne sværere at analysere.
  • Deaktivering af højreklik og genvejstaster: Forhindrer sikkerhedsforskere i hurtigt at se eller gemme phishing-sidens kildekode.

    • DNS MX-posters rolle i skræddersyet phishing

    Det, der adskiller Morphing Meerkat fra andre phishing-trusler, er dets brug af DNS MX-poster til at tilpasse phishing-angreb. Phishing-sættet henter MX-poster fra Cloudflare eller Google for at identificere ofrets e-mail-tjenesteudbyder – såsom Gmail, Microsoft Outlook eller Yahoo! – og viser derefter en matchende falsk login-side.

    Hvis phishing-sættet ikke genkender MX-posten, viser det som standard en Roundcube-loginside. Denne dynamiske tilpasning øger markant sandsynligheden for succes ved at få phishing-oplevelsen til at fremstå problemfri og autentisk for ofrene.

    Hvorfor denne angrebsmetode er usikker

    Evnen til at skræddersy phishing-sider til et offers e-mail-udbyder gør denne kampagne særlig vildledende. Kendskabet til den falske login-side, kombineret med en veludformet phishing-e-mail, øger chancerne for, at en bruger ubevidst indtaster deres legitimationsoplysninger.

    Ved at udnytte DNS-baseret intelligens løfter Morphing Meerkat phishing-angreb til et nyt niveau af sofistikering, hvilket gør dem sværere at opdage og mere overbevisende end nogensinde før. Cybersikkerhedseksperter fortsætter med at spore og analysere dens nye taktik for at afbøde dens indvirkning.

    Trending

    Mest sete

    Indlæser...