Morphing Meerkat Kit Phishing
Ερευνητές κυβερνοασφάλειας ανακάλυψαν μια εξελιγμένη πλατφόρμα Phishing-as-a-Service (PhaaS) που εκμεταλλεύεται τις εγγραφές ανταλλαγής αλληλογραφίας (MX) του συστήματος ονομάτων τομέα (DNS) για τη δημιουργία ψεύτικων σελίδων σύνδεσης που μιμούνται περισσότερες από 114 επωνυμίες. Ο ηθοποιός πίσω από αυτήν την επιχείρηση, που παρακολουθείται με το ψευδώνυμο Morphing Meerkat, συμμετέχει σε εκστρατείες phishing μεγάλης κλίμακας για τη συλλογή διαπιστευτηρίων χρηστών.
Πίνακας περιεχομένων
Πώς λειτουργεί το Morphing Meerkat
Οι εισβολείς χρησιμοποιούν πολλαπλές τακτικές για να διανείμουν συνδέσμους phishing και να διεισδύσουν κλεμμένα διαπιστευτήρια. Αυτά περιλαμβάνουν:
- Εκμετάλλευση ανοιχτών ανακατευθύνσεων: Εκμεταλλεύονται ευπάθειες στην υποδομή adtech.
- Διακυβευτικοί τομείς: Οι παραβιασμένοι ιστότοποι χρησιμοποιούνται για τη φιλοξενία περιεχομένου phishing.
- Χρήση του Telegram για Exfiltration: Τα κλεμμένα διαπιστευτήρια αποστέλλονται σε φορείς απειλών μέσω Telegram.
Μια τεκμηριωμένη καμπάνια από τον Ιούλιο του 2024 περιλάμβανε μηνύματα ηλεκτρονικού ψαρέματος που περιείχαν συνδέσμους προς ένα υποτιθέμενο κοινόχρηστο έγγραφο. Κάνοντας κλικ στον σύνδεσμο, οι χρήστες κατευθύνθηκαν σε μια ψεύτικη σελίδα σύνδεσης που φιλοξενείται στο Cloudflare R2, όπου συγκεντρώθηκαν τα διαπιστευτήριά τους και στάλθηκαν στους εισβολείς.
Παράκαμψη της ασφάλειας με έξυπνες τακτικές
Το Morphing Meerkat έχει παραδώσει με επιτυχία χιλιάδες μηνύματα ηλεκτρονικού "ψαρέματος" ενώ παρακάμπτει τις άμυνες ασφαλείας. Αυτό το πετυχαίνει με:
- Μόχλευση παραβιασμένων ιστότοπων WordPress : Φιλοξενία σελίδων phishing σε νόμιμους αλλά παραβιασμένους ιστότοπους.
- Εκμετάλλευση τρωτών σημείων ανοιχτής ανακατεύθυνσης : Χρήση διαφημιστικών πλατφορμών όπως το DoubleClick που ανήκει στην Google για να αποφύγετε τον εντοπισμό ασφαλείας.
Η πλατφόρμα phishing ενισχύει επίσης την αποτελεσματικότητά της μεταφράζοντας δυναμικά περιεχόμενο σε πολλές γλώσσες, όπως αγγλικά, κορεάτικα, ισπανικά, ρωσικά, γερμανικά, κινέζικα και ιαπωνικά, επιτρέποντάς της να στοχεύει θύματα σε όλο τον κόσμο.
Προηγμένες Τεχνικές Αποφυγής
Το Morphing Meerkat χρησιμοποιεί διάφορες τεχνικές αντι-ανάλυσης και συσκότισης για να αποφύγει τον εντοπισμό:
- Code Obfuscation & Inflation : Κάνει πιο δύσκολη την ανάλυση των σελίδων phishing.
- Απενεργοποίηση δεξιού κλικ και πλήκτρων πρόσβασης: Εμποδίζει τους ερευνητές ασφαλείας να προβάλλουν ή να αποθηκεύουν γρήγορα τον πηγαίο κώδικα της σελίδας phishing.
Ο ρόλος του DNS MX Records στο Προσαρμοσμένο Phishing
Αυτό που ξεχωρίζει το Morphing Meerkat από άλλες απειλές phishing είναι η χρήση εγγραφών DNS MX για την προσαρμογή των επιθέσεων phishing. Το κιτ phishing ανακτά εγγραφές MX από το Cloudflare ή την Google για να αναγνωρίσει τον πάροχο υπηρεσιών email του θύματος —όπως το Gmail, το Microsoft Outlook ή το Yahoo!— και, στη συνέχεια, εμφανίζει μια αντίστοιχη ψεύτικη σελίδα σύνδεσης.
Εάν το κιτ phishing δεν αναγνωρίσει την εγγραφή MX, προεπιλογή για εμφάνιση μιας σελίδας σύνδεσης Roundcube. Αυτή η δυναμική προσαρμογή αυξάνει σημαντικά την πιθανότητα επιτυχίας, κάνοντας την εμπειρία phishing να φαίνεται απρόσκοπτη και αυθεντική στα θύματα.
Γιατί αυτή η μέθοδος επίθεσης δεν είναι ασφαλής
Η δυνατότητα προσαρμογής σελίδων phishing στον πάροχο email ενός θύματος καθιστά αυτήν την καμπάνια ιδιαίτερα παραπλανητική. Η εξοικείωση της ψεύτικης σελίδας σύνδεσης, σε συνδυασμό με ένα καλοφτιαγμένο ηλεκτρονικό μήνυμα ηλεκτρονικού ψαρέματος, αυξάνει τις πιθανότητες ένας χρήστης να εισάγει εν αγνοία του τα διαπιστευτήριά του.
Αξιοποιώντας τη νοημοσύνη που βασίζεται σε DNS, το Morphing Meerkat ανεβάζει τις επιθέσεις phishing σε ένα νέο επίπεδο πολυπλοκότητας, καθιστώντας τους πιο δύσκολο να εντοπιστούν και πιο πειστικές από ποτέ. Οι ειδικοί στον τομέα της κυβερνοασφάλειας συνεχίζουν να παρακολουθούν και να αναλύουν τις εξελισσόμενες τακτικές της για να μετριάσουν τον αντίκτυπό της.
