Kit de phishing Meerkat Morphing

Cercetătorii în domeniul securității cibernetice au descoperit o platformă sofisticată Phishing-as-a-Service (PhaaS) care exploatează înregistrările MX (Domain Name System) de schimb de e-mailuri (DNS) pentru a crea pagini de conectare false care imită peste 114 mărci. Actorul din spatele acestei operațiuni, urmărit sub pseudonimul Morphing Meerkat, s-a implicat în campanii de phishing la scară largă pentru a colecta acreditările utilizatorilor.

Cum funcționează Morphing Meerkat

Atacatorii folosesc mai multe tactici pentru a distribui link-uri de phishing și a exfiltra acreditările furate. Acestea includ:

• Exploatarea redirecționărilor deschise: profită de vulnerabilitățile din infrastructura adtech.
• Domenii compromițătoare: site-urile web piratate sunt folosite pentru a găzdui conținut de tip phishing.
• Utilizarea Telegramului pentru exfiltrare: acreditările furate sunt trimise actorilor amenințări prin Telegram.

O campanie documentată din iulie 2024 a implicat e-mailuri de phishing care conțineau link-uri către un presupus document partajat. Făcând clic pe link, utilizatorii au fost direcționați către o pagină de conectare contrafăcută găzduită pe Cloudflare R2, de unde acreditările lor au fost culese și trimise atacatorilor.

Ocolind securitatea cu tactici inteligente

Morphing Meerkat a livrat cu succes mii de e-mailuri de phishing, ocolind apărările de securitate. Se realizează acest lucru prin:

• Utilizarea site-urilor WordPress compromise : găzduiește pagini de phishing pe site-uri web legitime, dar piratate.
• Exploatarea vulnerabilităților de redirecționare deschisă : utilizarea platformelor de publicitate precum DoubleClick, deținută de Google, pentru a evita detectarea securității.

Platforma de phishing își îmbunătățește, de asemenea, eficiența prin traducerea dinamică a conținutului în mai multe limbi, inclusiv engleză, coreeană, spaniolă, rusă, germană, chineză și japoneză, permițându-i să vizeze victimele din întreaga lume.

Tehnici avansate de evaziune

Morphing Meerkat folosește mai multe tehnici de antianaliză și ofuscare pentru a evita detectarea:

• Obfuscare și inflație cod : face paginile de phishing mai greu de analizat.
• Dezactivarea clicului dreapta și a tastelor rapide: împiedică cercetătorii de securitate să vizualizeze sau să salveze rapid codul sursă al paginii de phishing.

Rolul înregistrărilor DNS MX în phishingul personalizat

Ceea ce diferențiază Morphing Meerkat de alte amenințări de phishing este utilizarea înregistrărilor DNS MX pentru a personaliza atacurile de phishing. Setul de phishing preia înregistrările MX de la Cloudflare sau Google pentru a identifica furnizorul de servicii de e-mail al victimei — cum ar fi Gmail, Microsoft Outlook sau Yahoo! — și apoi oferă o pagină de conectare falsă corespunzătoare.

Dacă kitul de phishing nu recunoaște înregistrarea MX, va afișa implicit o pagină de conectare Roundcube. Această personalizare dinamică crește semnificativ probabilitatea de succes, făcând ca experiența de phishing să pară perfectă și autentică pentru victime.

De ce această metodă de atac este nesigură

Capacitatea de a adapta paginile de phishing la furnizorul de e-mail al victimei face ca această campanie să fie deosebit de înșelătoare. Familiaritatea paginii de autentificare false, cuplată cu un e-mail de phishing bine conceput, crește șansele ca un utilizator să-și introducă, fără să știe, acreditările.

Prin valorificarea inteligenței bazate pe DNS, Morphing Meerkat ridică atacurile de phishing la un nou nivel de sofisticare, făcându-le mai greu de detectat și mai convingătoare decât oricând. Experții în securitate cibernetică continuă să urmărească și să analizeze tacticile sale în evoluție pentru a-i atenua impactul.