Morphing Meerkat Phishing Kit

사이버 보안 연구원들은 도메인 이름 시스템(DNS) 메일 교환(MX) 레코드를 악용하여 114개 이상의 브랜드를 모방한 가짜 로그인 페이지를 만드는 정교한 Phishing-as-a-Service(PhaaS) 플랫폼을 발견했습니다. Morphing Meerkat이라는 별칭으로 추적되는 이 작전의 배후에 있는 행위자는 사용자 자격 증명을 수집하기 위해 대규모 피싱 캠페인에 참여해 왔습니다.

모핑 미어캣의 작동 방식

공격자는 피싱 링크를 배포하고 도난된 자격 증명을 빼내기 위해 여러 가지 전술을 사용합니다. 여기에는 다음이 포함됩니다.

• 오픈 리다이렉션 악용: 광고 기술 인프라의 취약점을 악용합니다.
• 도메인 침해: 해킹된 웹사이트는 피싱 콘텐츠를 호스팅하는 데 사용됩니다.
• 텔레그램을 사용하여 유출: 도난된 자격 증명은 텔레그램을 통해 위협 행위자에게 전송됩니다.

2024년 7월에 기록된 한 캠페인에는 공유 문서로 추정되는 링크가 포함된 피싱 이메일이 포함되었습니다. 링크를 클릭하면 사용자는 Cloudflare R2에 호스팅된 위조 로그인 페이지로 이동하고, 여기서 자격 증명이 수집되어 공격자에게 전송되었습니다.

영리한 전술로 보안 우회

Morphing Meerkat은 보안 방어를 우회하면서 수천 개의 피싱 이메일을 성공적으로 전달했습니다. 이를 달성하는 방법은 다음과 같습니다.

• 침해된 WordPress 사이트 활용 : 합법적이지만 해킹된 웹사이트에 피싱 페이지를 호스팅합니다.
• 오픈 리디렉트 취약점 악용 : Google이 소유한 DoubleClick과 같은 광고 플랫폼을 사용하여 보안 감지를 회피합니다.

피싱 플랫폼은 또한 영어, 한국어, 스페인어, 러시아어, 독일어, 중국어, 일본어 등 여러 언어로 콘텐츠를 동적으로 번역하여 전 세계의 피해자를 타겟팅할 수 있으므로 효율성을 높입니다.

고급 회피 기술

Morphing Meerkat은 감지를 피하기 위해 여러 가지 분석 방지 및 난독화 기술을 사용합니다.

• 코드 난독화 및 인플레이션 : 피싱 페이지를 분석하기 어렵게 만듭니다.
• 마우스 오른쪽 클릭 및 단축키 비활성화: 보안 연구원이 피싱 페이지 소스 코드를 빠르게 보거나 저장하는 것을 방지합니다.

맞춤형 피싱에서 DNS MX 레코드의 역할

Morphing Meerkat을 다른 피싱 위협과 차별화하는 것은 피싱 공격을 사용자 정의하기 위해 DNS MX 레코드를 사용한다는 것입니다. 피싱 키트는 Cloudflare 또는 Google에서 MX 레코드를 검색하여 피해자의 이메일 서비스 공급자(예: Gmail, Microsoft Outlook 또는 Yahoo!)를 식별한 다음 일치하는 가짜 로그인 페이지를 제공합니다.

피싱 키트가 MX 레코드를 인식하지 못하면 기본적으로 Roundcube 로그인 페이지를 표시합니다. 이러한 동적 사용자 지정은 피싱 경험이 피해자에게 원활하고 진짜처럼 보이게 하여 성공 가능성을 크게 높입니다.

이 공격 방법이 안전하지 않은 이유

피싱 페이지를 피해자의 이메일 제공자에 맞게 조정할 수 있는 능력은 이 캠페인을 특히 기만적으로 만듭니다. 가짜 로그인 페이지의 친숙함과 잘 만들어진 피싱 이메일이 결합되어 사용자가 모르게 자격 증명을 입력할 가능성이 커집니다.

Morphing Meerkat은 DNS 기반 인텔리전스를 활용하여 피싱 공격을 새로운 수준의 정교함으로 끌어올려 감지하기 어렵게 만들고 그 어느 때보다 더 설득력 있게 만듭니다. 사이버 보안 전문가들은 진화하는 전략을 계속 추적하고 분석하여 영향을 완화합니다.