„Morphing Meerkat“ sukčiavimo rinkinys
Kibernetinio saugumo tyrinėtojai atskleidė sudėtingą sukčiavimo kaip paslauga (PhaaS) platformą, kuri naudoja domenų vardų sistemos (DNS) pašto mainų (MX) įrašus, kad sukurtų netikrus prisijungimo puslapius, imituojančius daugiau nei 114 prekių ženklų. Aktorius, atsakingas už šią operaciją, sekamas slapyvardžiu Morphing Meerkat, dalyvavo didelio masto sukčiavimo kampanijose, siekdamas surinkti vartotojo kredencialus.
Turinys
Kaip veikia Morphing Meerkat
Užpuolikai naudoja kelias taktikas, kad platintų sukčiavimo nuorodas ir išfiltruotų pavogtus kredencialus. Tai apima:
- Atvirų peradresavimų išnaudojimas: jie naudojasi adtech infrastruktūros pažeidžiamumu.
- Kompromituojantys domenai: nulaužtos svetainės naudojamos sukčiavimo turiniui priglobti.
- Telegramos naudojimas eksfiltracijai: pavogti kredencialai siunčiami grėsmės veikėjams per Telegramą.
Viena dokumentuota 2024 m. liepos mėn. kampanija buvo susijusi su sukčiavimo el. laiškais su nuorodomis į tariamą bendrinamą dokumentą. Spustelėję nuorodą vartotojai buvo nukreipti į suklastotą prisijungimo puslapį, priglobtą „Cloudflare R2“, kur buvo paimti jų kredencialai ir išsiųsti užpuolikams.
Apeiti saugumą su protinga taktika
„Morphing Meerkat“ sėkmingai išsiuntė tūkstančius sukčiavimo el. laiškų, apeinant apsaugos priemones. Tai pasiekiama:
- Pažeistų „WordPress“ svetainių panaudojimas : sukčiavimo puslapių talpinimas teisėtose, bet nulaužtose svetainėse.
- Atvirojo peradresavimo pažeidžiamumo išnaudojimas : reklamavimo platformų, pvz., „Google“ priklausančių „DoubleClick“, naudojimas siekiant išvengti saugos aptikimo.
Sukčiavimo platforma taip pat padidina savo efektyvumą, nes dinamiškai verčia turinį į kelias kalbas, įskaitant anglų, korėjiečių, ispanų, rusų, vokiečių, kinų ir japonų, todėl ji gali būti nukreipta į aukas visame pasaulyje.
Pažangūs vengimo būdai
„Morphing Meerkat“ naudoja keletą antianalizės ir užmaskavimo metodų, kad išvengtų aptikimo:
- Kodo supainiojimas ir infliacija : apsunkina sukčiavimo puslapių analizę.
DNS MX įrašų vaidmuo pritaikytoje sukčiavimo srityje
Morphing Meerkat iš kitų sukčiavimo grėsmių išskiria DNS MX įrašų naudojimas sukčiavimo atakoms pritaikyti. Sukčiavimo rinkinys nuskaito MX įrašus iš „Cloudflare“ arba „Google“, kad nustatytų aukos el. pašto paslaugų teikėją, pvz., „Gmail“, „Microsoft Outlook“ ar „Yahoo!“, ir tada pateikia atitinkamą netikrą prisijungimo puslapį.
Jei sukčiavimo rinkinys neatpažįsta MX įrašo, pagal numatytuosius nustatymus jis rodo „Roundcube“ prisijungimo puslapį. Šis dinamiškas tinkinimas žymiai padidina sėkmės tikimybę, nes sukčiavimo patirtis aukoms atrodo sklandi ir autentiška.
Kodėl šis atakos metodas yra nesaugus
Dėl galimybės pritaikyti sukčiavimo puslapius aukos el. pašto paslaugų teikėjui ši kampanija yra ypač apgaulinga. Suklastoto prisijungimo puslapio žinomumas kartu su gerai sukurtu sukčiavimo el. paštu padidina tikimybę, kad vartotojas nesąmoningai įves savo kredencialus.
Naudodamas DNS pagrįstą intelektą, „Morphing Meerkat“ pakelia sukčiavimo atakas į naują sudėtingumo lygį, todėl jas sunkiau aptikti ir padaryti įtikinamesnius nei bet kada anksčiau. Kibernetinio saugumo ekspertai toliau seka ir analizuoja besikeičiančią taktiką, kad sušvelnintų jos poveikį.
