Zestaw do phishingu Morphing Meerkat

Badacze cyberbezpieczeństwa odkryli wyrafinowaną platformę Phishing-as-a-Service (PhaaS), która wykorzystuje rekordy wymiany poczty (MX) systemu nazw domen (DNS) do tworzenia fałszywych stron logowania imitujących ponad 114 marek. Aktor stojący za tą operacją, śledzony pod pseudonimem Morphing Meerkat, angażuje się w kampanie phishingowe na dużą skalę w celu zbierania danych uwierzytelniających użytkowników.

Jak działa Morphing Meerkat

Atakujący stosują wiele taktyk, aby rozpowszechniać linki phishingowe i wykradać skradzione dane uwierzytelniające. Obejmują one:

• Wykorzystywanie otwartych przekierowań: Wykorzystują luki w zabezpieczeniach infrastruktury adtech.
• Naruszanie domen: Zhakowane witryny internetowe są wykorzystywane do hostowania treści phishingowych.
• Wykorzystanie Telegrama do eksfiltracji: Skradzione dane uwierzytelniające są wysyłane do osób atakujących za pośrednictwem Telegrama.

Jedna z udokumentowanych kampanii z lipca 2024 r. obejmowała wiadomości e-mail phishingowe zawierające linki do rzekomo udostępnionego dokumentu. Kliknięcie linku kierowało użytkowników na fałszywą stronę logowania hostowaną w Cloudflare R2, gdzie ich dane uwierzytelniające były zbierane i wysyłane do atakujących.

Omijanie zabezpieczeń za pomocą sprytnych taktyk

Morphing Meerkat skutecznie dostarczył tysiące wiadomości phishingowych, omijając jednocześnie zabezpieczenia. Osiąga to poprzez:

• Wykorzystywanie zainfekowanych witryn WordPress : Hostowanie stron phishingowych na legalnych, ale zhakowanych witrynach.
• Wykorzystywanie luk w zabezpieczeniach typu Open Redirect : Korzystanie z platform reklamowych, takich jak DoubleClick należący do Google, w celu uniknięcia wykrycia przez systemy bezpieczeństwa.

Platforma phishingowa jest skuteczniejsza również dzięki dynamicznemu tłumaczeniu treści na wiele języków, w tym angielski, koreański, hiszpański, rosyjski, niemiecki, chiński i japoński, co pozwala jej docierać do ofiar na całym świecie.

Zaawansowane techniki unikania

Morphing Meerkat wykorzystuje kilka technik antyanalizy i zaciemniania, aby uniknąć wykrycia:

• Ukrywanie i rozdmuchiwanie kodu : Utrudnia analizę stron phishingowych.
• Wyłączanie prawego przycisku myszy i skrótów klawiszowych: Uniemożliwia analitykom ds. bezpieczeństwa szybkie przeglądanie lub zapisywanie kodu źródłowego strony phishingowej.

Rola rekordów DNS MX w dostosowanym phishingu

To, co wyróżnia Morphing Meerkat od innych zagrożeń phishingowych, to wykorzystanie rekordów DNS MX do dostosowywania ataków phishingowych. Zestaw phishingowy pobiera rekordy MX z Cloudflare lub Google, aby zidentyfikować dostawcę usług e-mail ofiary — takiego jak Gmail, Microsoft Outlook lub Yahoo! — a następnie wyświetla pasującą fałszywą stronę logowania.

Jeśli zestaw phishingowy nie rozpozna rekordu MX, domyślnie wyświetla stronę logowania Roundcube. Ta dynamiczna personalizacja znacznie zwiększa prawdopodobieństwo powodzenia, sprawiając, że doświadczenie phishingu wydaje się ofiarom płynne i autentyczne.

Dlaczego ta metoda ataku jest niebezpieczna

Możliwość dostosowania stron phishingowych do dostawcy poczty e-mail ofiary sprawia, że ta kampania jest szczególnie zwodnicza. Znajomość fałszywej strony logowania w połączeniu z dobrze sporządzonym e-mailem phishingowym zwiększa prawdopodobieństwo, że użytkownik nieświadomie wprowadzi swoje dane uwierzytelniające.

Wykorzystując inteligencję opartą na DNS, Morphing Meerkat podnosi ataki phishingowe na nowy poziom wyrafinowania, czyniąc je trudniejszymi do wykrycia i bardziej przekonującymi niż kiedykolwiek wcześniej. Eksperci ds. cyberbezpieczeństwa nadal śledzą i analizują jego ewoluujące taktyki, aby złagodzić jego wpływ.