Kit Phishing Meerkat Morphing
Penyelidik keselamatan siber telah menemui platform Phishing-as-a-Service (PhaaS) canggih yang mengeksploitasi rekod pertukaran mel (MX) Sistem Nama Domain (DNS) untuk mencipta halaman log masuk palsu yang meniru lebih 114 jenama. Pelakon di sebalik operasi ini, yang dikesan di bawah alias Morphing Meerkat, telah terlibat dalam kempen pancingan data berskala besar untuk mendapatkan bukti kelayakan pengguna.
Isi kandungan
Bagaimana Morphing Meerkat Beroperasi
Penyerang menggunakan pelbagai taktik untuk mengedarkan pautan pancingan data dan mengeluarkan bukti kelayakan yang dicuri. Ini termasuk:
- Memanfaatkan Ubah Hala Terbuka: Mereka mengambil kesempatan daripada kelemahan dalam infrastruktur teknologi iklan.
- Mengkompromi Domain: Tapak web yang digodam digunakan untuk mengehoskan kandungan pancingan data.
- Menggunakan Telegram untuk Exfiltration: Bukti kelayakan yang dicuri dihantar kepada pelakon ancaman melalui Telegram.
Satu kempen yang didokumenkan dari Julai 2024 melibatkan e-mel pancingan data yang mengandungi pautan ke dokumen yang sepatutnya dikongsi. Mengklik pautan mengarahkan pengguna ke halaman log masuk palsu yang dihoskan pada Cloudflare R2, di mana kelayakan mereka telah dituai dan dihantar kepada penyerang.
Melangkau Keselamatan dengan Taktik Cerdik
Morphing Meerkat telah berjaya menghantar beribu-ribu e-mel pancingan data sambil memintas pertahanan keselamatan. Ia mencapai ini dengan:
- Memanfaatkan Tapak WordPress Terkompromi : Mengehos halaman pancingan data pada tapak web yang sah tetapi digodam.
- Memanfaatkan Kerentanan Ubah Hala Terbuka : Menggunakan platform pengiklanan seperti DoubleClick milik Google untuk mengelakkan pengesanan keselamatan.
Platform pancingan data juga meningkatkan keberkesanannya dengan menterjemah kandungan secara dinamik ke dalam berbilang bahasa, termasuk Inggeris, Korea, Sepanyol, Rusia, Jerman, Cina dan Jepun, membolehkannya menyasarkan mangsa di seluruh dunia.
Teknik Pengelakan Lanjutan
Morphing Meerkat menggunakan beberapa teknik anti-analisis dan pengeliruan untuk mengelakkan pengesanan:
- Kekeliruan & Inflasi Kod : Menjadikan halaman pancingan data lebih sukar untuk dianalisis.
- Melumpuhkan Klik Kanan & Kekunci Panas: Menghalang penyelidik keselamatan daripada melihat atau menyimpan kod sumber halaman pancingan data dengan pantas.
Peranan Rekod DNS MX dalam Phishing Disesuaikan
Apa yang membezakan Morphing Meerkat daripada ancaman pancingan data yang lain ialah penggunaan rekod DNS MX untuk menyesuaikan serangan pancingan data. Kit pancingan data mendapatkan semula rekod MX daripada Cloudflare atau Google untuk mengenal pasti pembekal perkhidmatan e-mel mangsa—seperti Gmail, Microsoft Outlook atau Yahoo!—dan kemudian menyediakan halaman log masuk palsu yang sepadan.
Jika kit pancingan data gagal mengenali rekod MX, ia lalai untuk memaparkan halaman log masuk Roundcube. Penyesuaian dinamik ini dengan ketara meningkatkan kemungkinan kejayaan dengan menjadikan pengalaman pancingan data kelihatan lancar dan tulen kepada mangsa.
Mengapa Kaedah Serangan ini Tidak Selamat
Keupayaan untuk menyesuaikan halaman pancingan data kepada pembekal e-mel mangsa menjadikan kempen ini sangat mengelirukan. Kebiasaan halaman log masuk palsu, ditambah pula dengan e-mel pancingan data yang direka dengan baik, meningkatkan peluang bahawa pengguna tanpa disedari akan memasukkan bukti kelayakan mereka.
Dengan memanfaatkan kecerdasan berasaskan DNS, Morphing Meerkat meningkatkan serangan pancingan data ke tahap kecanggihan baharu, menjadikannya lebih sukar untuk dikesan dan lebih meyakinkan berbanding sebelum ini. Pakar keselamatan siber terus menjejak dan menganalisis taktiknya yang berkembang untuk mengurangkan kesannya.
