Morphing Meerkat adathalász készlet

A kiberbiztonsági kutatók feltártak egy kifinomult adathalászat szolgáltatásként (PhaaS) platformot, amely a Domain Name System (DNS) mail Exchange (MX) rekordjait használja fel hamis bejelentkezési oldalak létrehozására, amelyek több mint 114 márkát utánoznak. A művelet mögött Morphing Meerkat néven nyomon követett szereplő nagyszabású adathalász kampányokban vett részt felhasználói hitelesítő adatok begyűjtésére.

Hogyan működik a Morphing Meerkat

A támadók többféle taktikát alkalmaznak az adathalász linkek terjesztésére és az ellopott hitelesítő adatok kiszűrésére. Ezek a következők:

• Nyílt átirányítások kihasználása: Kihasználják az adtech infrastruktúra sebezhetőségeit.
• Kompromittáló domainek: A feltört webhelyeket adathalász tartalom tárolására használják.
• A Telegram használata kiszűréshez: Az ellopott hitelesítő adatokat a Telegramon keresztül küldik el a fenyegetés szereplőinek.

Az egyik dokumentált kampány 2024 júliusában olyan adathalász e-maileket tartalmazott, amelyek egy feltételezett megosztott dokumentumra mutató hivatkozásokat tartalmaztak. A hivatkozásra kattintva a felhasználók a Cloudflare R2-n tárolt hamis bejelentkezési oldalra irányították a felhasználókat, ahol a hitelesítő adataikat begyűjtötték és elküldték a támadóknak.

A biztonság megkerülése ügyes taktikákkal

A Morphing Meerkat sikeresen kézbesített adathalász e-mailek ezreit, miközben megkerülte a biztonsági védelmet. Ezt úgy éri el, hogy:

• Feltört WordPress-webhelyek kihasználása : Adathalász oldalak tárolása legitim, de feltört webhelyeken.
• Nyílt átirányítási sebezhetőségek kihasználása : Olyan hirdetési platformok használata, mint a Google tulajdonában lévő DoubleClick a biztonsági észlelés elkerülésére.

Az adathalász platform azáltal is növeli hatékonyságát, hogy dinamikusan lefordítja a tartalmat több nyelvre, köztük angolra, koreaira, spanyolra, oroszra, németre, kínaira és japánra, így világszerte megcélozhatja az áldozatokat.

Fejlett kijátszási technikák

A Morphing Meerkat számos anti-analízis és elhomályosítási technikát alkalmaz az észlelés elkerülésére:

• Kódzavarás és infláció : Megnehezíti az adathalász oldalak elemzését.
• A jobb gombbal történő kattintás és a gyorsbillentyűk letiltása: Megakadályozza, hogy a biztonsági kutatók gyorsan megtekintsék vagy elmentsék az adathalász oldal forráskódját.

A DNS MX rekordok szerepe a személyre szabott adathalászatban

A Morphing Meerkat az különbözteti meg a többi adathalász fenyegetéstől, hogy DNS MX rekordokat használ az adathalász támadások testreszabására. Az adathalász készlet lekéri az MX rekordokat a Cloudflare-től vagy a Google-tól, hogy azonosítsa az áldozat e-mail szolgáltatóját – például a Gmailt, a Microsoft Outlookot vagy a Yahoo!-t –, majd megjeleníti a megfelelő hamis bejelentkezési oldalt.

Ha az adathalász készlet nem ismeri fel az MX rekordot, akkor alapértelmezés szerint egy Roundcube bejelentkezési oldalt jelenít meg. Ez a dinamikus testreszabás jelentősen növeli a siker valószínűségét azáltal, hogy az adathalászat zökkenőmentesnek és hitelesnek tűnik az áldozatok számára.

Miért nem biztonságos ez a támadási módszer?

Az a képesség, hogy az adathalász oldalakat az áldozat e-mail szolgáltatójához igazítsák, különösen megtévesztővé teszi ezt a kampányt. A hamis bejelentkezési oldal ismertsége, valamint egy jól kidolgozott adathalász e-mail növeli annak esélyét, hogy a felhasználó tudatlanul adja meg hitelesítő adatait.

A DNS-alapú intelligencia kihasználásával a Morphing Meerkat a kifinomultság új szintjére emeli az adathalász támadásokat, így nehezebben észlelhetők és meggyőzőbbek, mint valaha. A kiberbiztonsági szakértők továbbra is nyomon követik és elemzik a fejlődő taktikákat, hogy csökkentsék a hatását.