Morphing Meerkat pikšķerēšanas komplekts
Kiberdrošības pētnieki ir atklājuši izsmalcinātu pikšķerēšanas kā pakalpojuma (PhaaS) platformu, kas izmanto domēna nosaukumu sistēmas (DNS) pasta apmaiņas (MX) ierakstus, lai izveidotu viltotas pieteikšanās lapas, kas atdarina vairāk nekā 114 zīmolus. Šīs operācijas izpildītājs, kas tiek izsekots ar aizstājvārdu Morphing Meerkat, ir iesaistījies liela mēroga pikšķerēšanas kampaņās, lai iegūtu lietotāju akreditācijas datus.
Satura rādītājs
Kā darbojas Morphing Meerkat
Uzbrucēji izmanto vairākas taktikas, lai izplatītu pikšķerēšanas saites un izfiltrētu nozagtos akreditācijas datus. Tie ietver:
- Atvērtās novirzīšanas izmantošana: tās izmanto adtech infrastruktūras ievainojamības priekšrocības.
- Kompromitējoši domēni: uzlauztas vietnes tiek izmantotas pikšķerēšanas satura mitināšanai.
- Telegrammas izmantošana eksfiltrācijai: nozagtie akreditācijas dati tiek nosūtīti draudu dalībniekiem, izmantojot Telegram.
Viena dokumentēta 2024. gada jūlija kampaņa bija saistīta ar pikšķerēšanas e-pasta ziņojumiem, kuros bija saites uz it kā koplietotu dokumentu. Noklikšķinot uz saites, lietotāji tika novirzīti uz viltotu pieteikšanās lapu, kas tika mitināta pakalpojumā Cloudflare R2, kur tika iegūti viņu akreditācijas dati un nosūtīti uzbrucējiem.
Drošības apiešana ar gudru taktiku
Morphing Meerkat ir veiksmīgi piegādājis tūkstošiem pikšķerēšanas e-pasta ziņojumu, vienlaikus apejot drošības aizsardzību. Tas tiek panākts, izmantojot:
- Kompromitētu WordPress vietņu izmantošana : pikšķerēšanas lapu mitināšana likumīgās, bet uzlauztās vietnēs.
- Atvērtās novirzīšanas ievainojamību izmantošana : tādu reklamēšanas platformu kā Google īpašumā DoubleClick izmantošana, lai izvairītos no drošības noteikšanas.
Pikšķerēšanas platforma arī uzlabo savu efektivitāti, dinamiski tulkojot saturu vairākās valodās, tostarp angļu, korejiešu, spāņu, krievu, vācu, ķīniešu un japāņu valodā, ļaujot tai mērķēt uz upuriem visā pasaulē.
Uzlabotas izvairīšanās metodes
Morphing Meerkat izmanto vairākas pretanalīzes un neskaidrības metodes, lai izvairītos no atklāšanas:
- Kodu apmulsināšana un inflācija : apgrūtina pikšķerēšanas lapu analīzi.
- Labā klikšķa un karsto taustiņu atspējošana: neļauj drošības pētniekiem ātri skatīt vai saglabāt pikšķerēšanas lapas avota kodu.
DNS MX ierakstu loma pielāgotā pikšķerēšanā
Tas, kas Morphing Meerkat atšķir no citiem pikšķerēšanas draudiem, ir DNS MX ierakstu izmantošana, lai pielāgotu pikšķerēšanas uzbrukumus. Pikšķerēšanas komplekts izgūst MX ierakstus no Cloudflare vai Google, lai identificētu upura e-pasta pakalpojumu sniedzēju, piemēram, Gmail, Microsoft Outlook vai Yahoo!, un pēc tam parāda atbilstošu viltus pieteikšanās lapu.
Ja pikšķerēšanas komplekts neatpazīst MX ierakstu, pēc noklusējuma tiek rādīta Roundcube pieteikšanās lapa. Šī dinamiskā pielāgošana ievērojami palielina veiksmes iespējamību, padarot pikšķerēšanas pieredzi upuriem nevainojamu un autentisku.
Kāpēc šī uzbrukuma metode nav droša
Iespēja pielāgot pikšķerēšanas lapas upura e-pasta pakalpojumu sniedzējam padara šo kampaņu īpaši maldinošu. Viltus pieteikšanās lapas pazīstamība kopā ar labi izstrādātu pikšķerēšanas e-pastu palielina iespēju, ka lietotājs neapzināti ievadīs savus akreditācijas datus.
Izmantojot uz DNS balstītu informāciju, Morphing Meerkat paaugstina pikšķerēšanas uzbrukumus jaunā sarežģītības līmenī, padarot tos grūtāk atpazīstamus un pārliecinošākus nekā jebkad agrāk. Kiberdrošības eksperti turpina izsekot un analizēt tās attīstības taktiku, lai mazinātu tās ietekmi.
