Morphing Meerkat Phishing Kit
Cybersikkerhetsforskere har avdekket en sofistikert Phishing-as-a-Service (PhaaS)-plattform som utnytter MX-postene (Domain Name System) for å lage falske påloggingssider som etterligner over 114 merker. Aktøren bak denne operasjonen, sporet under aliaset Morphing Meerkat, har engasjert seg i storskala phishing-kampanjer for å hente brukerlegitimasjon.
Innholdsfortegnelse
Hvordan Morphing Meerkat fungerer
Angriperne bruker flere taktikker for å distribuere phishing-lenker og eksfiltrere stjålne legitimasjon. Disse inkluderer:
- Utnyttelse av åpne omdirigeringer: De utnytter sårbarheter i adtech-infrastruktur.
- Kompromitterende domener: Hackede nettsteder brukes til å være vert for phishing-innhold.
- Bruke Telegram for Exfiltration: Stjålet legitimasjon sendes til trusselaktører via Telegram.
En dokumentert kampanje fra juli 2024 involverte phishing-e-poster som inneholdt lenker til et antatt delt dokument. Ved å klikke på lenken ledet brukerne til en falsk påloggingsside på Cloudflare R2, hvor påloggingsinformasjonen deres ble samlet inn og sendt til angriperne.
Omgå sikkerhet med smart taktikk
Morphing Meerkat har med suksess levert tusenvis av phishing-e-poster mens de omgår sikkerhetsforsvar. Den oppnår dette ved å:
- Utnytte kompromitterte WordPress-nettsteder : Hosting av phishing-sider på legitime, men hackede nettsteder.
- Utnyttelse av åpne omdirigeringssårbarheter : Bruk av annonseringsplattformer som Google-eide DoubleClick for å unngå sikkerhetsdeteksjon.
Phishing-plattformen forbedrer også effektiviteten ved å dynamisk oversette innhold til flere språk, inkludert engelsk, koreansk, spansk, russisk, tysk, kinesisk og japansk, slik at den kan målrette mot ofre over hele verden.
Avanserte unnvikelsesteknikker
The Morphing Meerkat bruker flere antianalyse- og tilsløringsteknikker for å unngå oppdagelse:
- Kodeobfuskasjon og inflasjon : Gjør phishing-sidene vanskeligere å analysere.
Rollen til DNS MX-poster i skreddersydd phishing
Det som skiller Morphing Meerkat fra andre phishing-trusler er bruken av DNS MX-poster for å tilpasse phishing-angrep. Phishing-settet henter MX-poster fra Cloudflare eller Google for å identifisere offerets e-postleverandør – for eksempel Gmail, Microsoft Outlook eller Yahoo! – og viser deretter en samsvarende falsk påloggingsside.
Hvis phishing-settet ikke gjenkjenner MX-posten, viser det som standard en Roundcube-påloggingsside. Denne dynamiske tilpasningen øker sannsynligheten for suksess betydelig ved å få phishing-opplevelsen til å fremstå sømløs og autentisk for ofrene.
Hvorfor denne angrepsmetoden er usikker
Muligheten til å skreddersy phishing-sider til et offers e-postleverandør gjør denne kampanjen spesielt villedende. Kjennskapen til den falske påloggingssiden, kombinert med en godt utformet phishing-e-post, øker sjansene for at en bruker ubevisst vil skrive inn legitimasjonen sin.
Ved å utnytte DNS-basert intelligens løfter Morphing Meerkat phishing-angrep til et nytt nivå av sofistikering, noe som gjør dem vanskeligere å oppdage og mer overbevisende enn noen gang før. Eksperter på nettsikkerhet fortsetter å spore og analysere taktikken i utvikling for å redusere virkningen.
