Morphing Meerkat Phishing Kit
Kyberturvallisuustutkijat ovat löytäneet kehittyneen Phishing-as-a-Service (PhaaS) -alustan, joka hyödyntää Domain Name Systemin (DNS) mail Exchange (MX) -tietueita luodakseen väärennettyjä kirjautumissivuja, jotka jäljittelevät yli 114 tuotemerkkiä. Tämän operaation takana oleva näyttelijä, jota seurataan aliasnimellä Morphing Meerkat, on osallistunut laajamittaisiin tietojenkalastelukampanjoihin kerätäkseen käyttäjätunnuksia.
Sisällysluettelo
Kuinka Morphing Meerkat toimii
Hyökkääjät käyttävät useita taktiikoita tietojenkalastelulinkkien jakamiseen ja varastettujen tunnistetietojen poistamiseen. Näitä ovat:
- Avointen uudelleenohjausten hyödyntäminen: Ne hyödyntävät adtech-infrastruktuurin haavoittuvuuksia.
- Vaaralliset verkkotunnukset: Hakkeroituja verkkosivustoja käytetään tietojenkalastelusisällön isännöimiseen.
- Telegramin käyttäminen suodattamiseen: Varastetut käyttäjätiedot lähetetään uhkaaville toimijoille Telegramin kautta.
Yksi dokumentoitu kampanja heinäkuusta 2024 sisälsi tietojenkalasteluviestejä, jotka sisälsivät linkkejä oletettuun jaettuun asiakirjaan. Linkin napsauttaminen ohjasi käyttäjät Cloudflare R2:ssa isännöidylle väärennetylle kirjautumissivulle, jolta heidän kirjautumistietonsa kerättiin ja lähetettiin hyökkääjille.
Turvallisuuden ohittaminen älykkäillä taktiikoilla
Morphing Meerkat on onnistuneesti toimittanut tuhansia phishing-sähköposteja ohittaen samalla suojaukset. Se saavuttaa tämän seuraavilla tavoilla:
- Vaarallisten WordPress-sivustojen hyödyntäminen : Tietojenkalastelusivujen isännöinti laillisilla mutta hakkeroiduilla verkkosivustoilla.
- Avoimen uudelleenohjaushaavoittuvuuksien hyödyntäminen : Mainosalustojen, kuten Googlen omistaman DoubleClickin, käyttäminen suojauksen havaitsemisen välttämiseksi.
Tietojenkalastelualusta parantaa myös tehokkuuttaan kääntämällä sisältöä dynaamisesti useille kielille, mukaan lukien englanniksi, koreaksi, espanjaksi, venäjäksi, saksaksi, kiinaksi ja japaniksi, mikä mahdollistaa sen kohdistamisen uhreille maailmanlaajuisesti.
Kehittyneet evaasiotekniikat
Morphing Meerkat käyttää useita anti-analyysi- ja hämärtymistekniikoita havaitsemisen välttämiseksi:
- Koodin hämärtäminen ja inflaatio : vaikeuttaa tietojenkalastelusivujen analysointia.
DNS MX -tietueiden rooli räätälöidyssä tietojenkalastelussa
Mikä erottaa Morphing Meerkatin muista tietojenkalasteluuhista, on sen DNS MX -tietueiden käyttö tietojenkalasteluhyökkäysten mukauttamiseen. Tietojenkalastelupakkaus hakee MX-tietueita Cloudflaresta tai Googlesta tunnistaakseen uhrin sähköpostipalveluntarjoajan – kuten Gmailin, Microsoft Outlookin tai Yahoo!:n – ja näyttää sitten vastaavan väärennetyn kirjautumissivun.
Jos tietojenkalastelupaketti ei tunnista MX-tietuetta, se näyttää oletuksena Roundcube-kirjautumissivun. Tämä dynaaminen räätälöinti lisää merkittävästi onnistumisen todennäköisyyttä saamalla tietojenkalastelukokemuksen näyttämään uhrien silmissä saumattomalta ja aidolta.
Miksi tämä hyökkäysmenetelmä ei ole turvallinen
Mahdollisuus räätälöidä tietojenkalastelusivuja uhrin sähköpostipalveluntarjoajan mukaan tekee tästä kampanjasta erityisen petollisen. Väärennetyn kirjautumissivun tuttuus yhdistettynä hyvin muotoiltuun phishing-sähköpostiin lisää todennäköisyyttä, että käyttäjä syöttää tietonsa tietämättään.
Hyödyntämällä DNS-pohjaista älykkyyttä Morphing Meerkat nostaa tietojenkalasteluhyökkäykset uudelle tasolle, mikä tekee niistä vaikeammin havaittavia ja vakuuttavampia kuin koskaan ennen. Kyberturvallisuuden asiantuntijat seuraavat ja analysoivat edelleen sen kehittyviä taktiikoita lieventääkseen sen vaikutuksia.
