Morphing Meerkat Phishing Kit
Küberturvalisuse teadlased on avastanud keeruka andmepüügi-as-a-Service (PhaaS) platvormi, mis kasutab domeeninimesüsteemi (DNS) meilivahetuse (MX) kirjeid, et luua võltsitud sisselogimislehti, mis jäljendavad enam kui 114 kaubamärki. Selle operatsiooni taga olev näitleja, keda jälgitakse varjunime Morphing Meerkat all, on osalenud suuremahulistes andmepüügikampaaniates, et koguda kasutaja mandaate.
Sisukord
Kuidas Morphing Surikaat töötab
Ründajad kasutavad andmepüügilinkide levitamiseks ja varastatud mandaatide väljafiltreerimiseks mitut taktikat. Nende hulka kuuluvad:
- Avatud ümbersuunamiste ärakasutamine: need kasutavad ära reklaamitehnoloogia infrastruktuuri turvaauke.
- Kompromiteerivad domeenid: häkitud veebisaite kasutatakse andmepüügi sisu majutamiseks.
- Telegrami kasutamine eksfiltreerimiseks: varastatud volikirjad saadetakse Telegrami kaudu ohus osalejatele.
Üks dokumenteeritud kampaania juulist 2024 hõlmas andmepüügimeile, mis sisaldasid linke eeldatavale jagatud dokumendile. Lingil klõpsamine suunati kasutajad Cloudflare R2-s hostitud võltsitud sisselogimislehele, kus koguti nende mandaadid ja saadeti ründajatele.
Turvalisusest mööda hiilimine nutika taktikaga
Morphing Meerkat on turvameetmetest mööda minnes edukalt edastanud tuhandeid andmepüügimeile. See saavutatakse järgmiselt:
- Ohustatud WordPressi saitide kasutamine : andmepüügilehtede majutamine seaduslikel, kuid häkitud veebisaitidel.
- Avatud ümbersuunamise haavatavuste ärakasutamine : reklaamiplatvormide, nagu Google'ile kuuluv DoubleClick, kasutamine turvatuvastusest kõrvalehoidmiseks.
Andmepüügiplatvorm suurendab ka oma tõhusust, tõlkides sisu dünaamiliselt mitmesse keelde, sealhulgas inglise, korea, hispaania, vene, saksa, hiina ja jaapani keelde, võimaldades sellel ohvreid kogu maailmas sihtida.
Täiustatud kõrvalehoidmise tehnikad
Morphing Meerkat kasutab tuvastamisest kõrvalehoidmiseks mitmeid analüüsivastaseid ja hägustamise tehnikaid:
- Koodi segamine ja inflatsioon : muudab andmepüügilehtede analüüsimise raskemaks.
- Paremklõpsu ja kiirklahvide keelamine: takistab turvauurijatel andmepüügilehe lähtekoodi kiiresti vaadata või salvestada.
DNS-i MX-kirjete roll kohandatud andmepüügis
Morphing Meerkat eristab teistest andmepüügiohtudest DNS MX-kirjete kasutamine andmepüügirünnakute kohandamiseks. Andmepüügikomplekt hangib MX-kirjed Cloudflare'ist või Google'ist, et tuvastada ohvri e-posti teenusepakkuja (nt Gmail, Microsoft Outlook või Yahoo!) ja seejärel kuvab vastava võltsitud sisselogimislehe.
Kui andmepüügikomplekt ei suuda MX-kirjet ära tunda, kuvab see vaikimisi Roundcube'i sisselogimislehe. See dünaamiline kohandamine suurendab oluliselt edu tõenäosust, muutes andmepüügi kogemuse ohvritele sujuvaks ja autentseks.
Miks see ründemeetod pole ohutu?
Võimalus kohandada andmepüügilehti ohvri meiliteenuse pakkuja järgi muudab selle kampaania eriti petlikuks. Võltsitud sisselogimislehe tuttavlikkus koos hästi koostatud andmepüügimeiliga suurendab tõenäosust, et kasutaja sisestab teadmatult oma mandaadid.
DNS-põhist luuret võimendades tõstab Morphing Meerkat andmepüügirünnakud uuele keerukuse tasemele, muutes need raskemini tuvastatavaks ja veenvamaks kui kunagi varem. Küberturvalisuse eksperdid jälgivad ja analüüsivad jätkuvalt selle arenevaid taktikaid, et selle mõju leevendada.
