Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Phishing Morphing Meerkat Phishing-kit

Morphing Meerkat Phishing-kit

Tegen Mezo in Phishing, Malware
Vertalen naar:
Nederlands

Cybersecurity-onderzoekers hebben een geavanceerd Phishing-as-a-Service (PhaaS)-platform ontdekt dat de Domain Name System (DNS) mail exchange (MX)-records misbruikt om nep-inlogpagina's te maken die meer dan 114 merken nabootsen. De actor achter deze operatie, gevolgd onder de alias Morphing Meerkat, is bezig met grootschalige phishingcampagnes om gebruikersreferenties te verzamelen.

Hoe de morphing meerkat opereert

De aanvallers gebruiken meerdere tactieken om phishinglinks te verspreiden en gestolen inloggegevens te exfiltreren. Deze omvatten:

  • Exploiteren van open redirects: ze maken misbruik van kwetsbaarheden in de adtech-infrastructuur.
  • Compromitterende domeinen: gehackte websites worden gebruikt om phishing-inhoud te hosten.
  • Telegram gebruiken voor exfiltratie: gestolen inloggegevens worden via Telegram naar kwaadwillende actoren verzonden.

Eén gedocumenteerde campagne van juli 2024 betrof phishingmails met links naar een zogenaamd gedeeld document. Door op de link te klikken, werden gebruikers doorgestuurd naar een namaak-inlogpagina die werd gehost op Cloudflare R2, waar hun inloggegevens werden verzameld en naar de aanvallers werden gestuurd.

Beveiliging omzeilen met slimme tactieken

De Morphing Meerkat heeft duizenden phishing-e-mails succesvol afgeleverd en tegelijkertijd de beveiligingsmaatregelen omzeild. Dit doet hij door:

  • Gebruikmaken van gehackte WordPress-sites : phishingpagina's hosten op legitieme, maar gehackte websites.
  • Exploiteren van kwetsbaarheden in open redirects : gebruik van advertentieplatforms zoals DoubleClick, eigendom van Google, om beveiligingsdetectie te omzeilen.

Het phishingplatform vergroot bovendien zijn effectiviteit door de content dynamisch te vertalen naar meerdere talen, waaronder Engels, Koreaans, Spaans, Russisch, Duits, Chinees en Japans. Hierdoor kan het platform slachtoffers over de hele wereld bereiken.

Geavanceerde ontwijkingstechnieken

De Morphing Meerkat gebruikt verschillende anti-analyse- en verduisteringstechnieken om detectie te omzeilen:

  • Codeverduistering en -inflatie : maakt phishingpagina's moeilijker te analyseren.
  • Rechtermuisknop en sneltoetsen uitschakelen: Hiermee voorkomt u dat beveiligingsonderzoekers snel de broncode van de phishingpagina kunnen bekijken of opslaan.

De rol van DNS MX-records bij op maat gemaakte phishing

Wat Morphing Meerkat onderscheidt van andere phishingbedreigingen is het gebruik van DNS MX-records om phishingaanvallen aan te passen. De phishingkit haalt MX-records op van Cloudflare of Google om de e-mailprovider van het slachtoffer te identificeren, zoals Gmail, Microsoft Outlook of Yahoo!, en serveert vervolgens een bijpassende nep-inlogpagina.

Als de phishingkit het MX-record niet herkent, wordt standaard een Roundcube-inlogpagina weergegeven. Deze dynamische aanpassing vergroot de kans op succes aanzienlijk door de phishingervaring naadloos en authentiek te laten lijken voor slachtoffers.

Waarom deze aanvalsmethode onveilig is

De mogelijkheid om phishingpagina's aan te passen aan de e-mailprovider van een slachtoffer maakt deze campagne bijzonder misleidend. De bekendheid van de nep-inlogpagina, in combinatie met een goed opgestelde phishing-e-mail, vergroot de kans dat een gebruiker onbewust zijn inloggegevens invoert.

Door DNS-gebaseerde intelligentie te benutten, tilt de Morphing Meerkat phishingaanvallen naar een nieuw niveau van verfijning, waardoor ze moeilijker te detecteren en overtuigender zijn dan ooit tevoren. Cybersecurity-experts blijven de evoluerende tactieken volgen en analyseren om de impact ervan te beperken.

Trending

Meest bekeken

Bezig met laden...