Preventivo sconto multi-licenza
Database delle minacce Phishing Morphing Meerkat Phishing Kit

Morphing Meerkat Phishing Kit

Entro Mezo nel Phishing, Malware
Traduci in:
Italiano

I ricercatori di sicurezza informatica hanno scoperto una sofisticata piattaforma Phishing-as-a-Service (PhaaS) che sfrutta i record di scambio di posta (MX) del Domain Name System (DNS) per creare pagine di accesso false che imitano oltre 114 marchi. L'attore dietro questa operazione, tracciato con lo pseudonimo Morphing Meerkat, è stato coinvolto in campagne di phishing su larga scala per raccogliere le credenziali degli utenti.

Come funziona il suricato in trasformazione

Gli aggressori impiegano molteplici tattiche per distribuire link di phishing ed esfiltrare credenziali rubate. Tra queste:

  • Sfruttamento dei reindirizzamenti aperti: sfruttano le vulnerabilità nell'infrastruttura adtech.
  • Compromissione di domini: i siti web hackerati vengono utilizzati per ospitare contenuti di phishing.
  • Utilizzo di Telegram per l'esfiltrazione: le credenziali rubate vengono inviate agli autori della minaccia tramite Telegram.

Una campagna documentata di luglio 2024 ha coinvolto e-mail di phishing contenenti link a un presunto documento condiviso. Cliccando sul link, gli utenti venivano indirizzati a una pagina di accesso contraffatta ospitata su Cloudflare R2, dove le loro credenziali venivano raccolte e inviate agli aggressori.

Aggirare la sicurezza con tattiche intelligenti

Il Morphing Meerkat ha recapitato con successo migliaia di email di phishing aggirando le difese di sicurezza. Ci riesce:

  • Sfruttamento di siti WordPress compromessi : ospitare pagine di phishing su siti web legittimi ma hackerati.
  • Sfruttamento delle vulnerabilità di Open Redirect : utilizzo di piattaforme pubblicitarie come DoubleClick di proprietà di Google per eludere il rilevamento di sicurezza.

La piattaforma di phishing aumenta inoltre la sua efficacia traducendo dinamicamente i contenuti in più lingue, tra cui inglese, coreano, spagnolo, russo, tedesco, cinese e giapponese, consentendole di raggiungere vittime in tutto il mondo.

Tecniche di evasione avanzate

Il Morphing Meerkat impiega diverse tecniche di anti-analisi e offuscamento per eludere il rilevamento:

  • Offuscamento e inflazione del codice : rendono le pagine di phishing più difficili da analizzare.
  • Disabilitazione del tasto destro del mouse e dei tasti di scelta rapida: impedisce ai ricercatori della sicurezza di visualizzare o salvare rapidamente il codice sorgente della pagina di phishing.

Il ruolo dei record DNS MX nel phishing personalizzato

Ciò che distingue Morphing Meerkat dalle altre minacce di phishing è l'uso di record DNS MX per personalizzare gli attacchi di phishing. Il kit di phishing recupera i record MX da Cloudflare o Google per identificare il provider di servizi di posta elettronica della vittima, come Gmail, Microsoft Outlook o Yahoo!, e quindi serve una pagina di accesso falsa corrispondente.

Se il kit di phishing non riesce a riconoscere il record MX, visualizza per impostazione predefinita una pagina di accesso Roundcube. Questa personalizzazione dinamica aumenta significativamente la probabilità di successo rendendo l'esperienza di phishing fluida e autentica per le vittime.

Perché questo metodo di attacco non è sicuro

La capacità di adattare le pagine di phishing al provider di posta elettronica della vittima rende questa campagna particolarmente ingannevole. La familiarità della pagina di accesso falsa, abbinata a un'e-mail di phishing ben congegnata, aumenta le possibilità che un utente inserisca inconsapevolmente le proprie credenziali.

Sfruttando l'intelligence basata su DNS, Morphing Meerkat porta gli attacchi di phishing a un nuovo livello di sofisticatezza, rendendoli più difficili da rilevare e più convincenti che mai. Gli esperti di sicurezza informatica continuano a tracciare e analizzare le sue tattiche in evoluzione per mitigarne l'impatto.

Tendenza

I più visti

Caricamento in corso...