Набор для фишинга Morphing Meerkat
Исследователи кибербезопасности обнаружили сложную платформу Phishing-as-a-Service (PhaaS), которая использует записи обмена почтой (MX) системы доменных имен (DNS) для создания поддельных страниц входа, имитирующих более 114 брендов. Злоумышленник, стоящий за этой операцией, отслеживаемый под псевдонимом Morphing Meerkat, участвовал в крупномасштабных фишинговых кампаниях по сбору учетных данных пользователей.
Оглавление
Как действует морфинг-сурикат
Злоумышленники используют несколько тактик для распространения фишинговых ссылок и выманивания украденных учетных данных. Они включают:
- Эксплуатация открытых перенаправлений: они используют уязвимости в инфраструктуре рекламных технологий.
- Взлом доменов: взломанные веб-сайты используются для размещения фишингового контента.
- Использование Telegram для кражи: украденные учетные данные отправляются злоумышленникам через Telegram.
Одна из задокументированных кампаний июля 2024 года включала фишинговые письма, содержащие ссылки на якобы общий документ. Нажатие на ссылку направляло пользователей на поддельную страницу входа, размещенную на Cloudflare R2, где их учетные данные собирались и отправлялись злоумышленникам.
Обход системы безопасности с помощью хитрых приемов
Morphing Meerkat успешно доставил тысячи фишинговых писем, обойдя защиту. Он достигает этого следующим образом:
- Использование взломанных сайтов WordPress : размещение фишинговых страниц на легитимных, но взломанных веб-сайтах.
- Использование уязвимостей открытого перенаправления : использование рекламных платформ, таких как DoubleClick, принадлежащая Google, для обхода обнаружения безопасности.
Фишинговая платформа также повышает свою эффективность за счет динамического перевода контента на несколько языков, включая английский, корейский, испанский, русский, немецкий, китайский и японский, что позволяет ей атаковать жертв по всему миру.
Продвинутые методы уклонения
Morphing Meerkat использует несколько методов антианализа и запутывания, чтобы избежать обнаружения:
- Обфускация и инфляция кода : затрудняет анализ фишинговых страниц.
- Отключение правой кнопки мыши и горячих клавиш: не позволяет исследователям безопасности быстро просматривать или сохранять исходный код фишинговой страницы.
Роль записей DNS MX в специализированном фишинге
Morphing Meerkat отличается от других фишинговых угроз тем, что использует записи DNS MX для настройки фишинговых атак. Фишинговый набор извлекает записи MX из Cloudflare или Google, чтобы идентифицировать поставщика услуг электронной почты жертвы — например, Gmail, Microsoft Outlook или Yahoo! — а затем предоставляет соответствующую поддельную страницу входа.
Если фишинговый набор не распознает запись MX, он по умолчанию отображает страницу входа в Roundcube. Эта динамическая настройка значительно увеличивает вероятность успеха, делая фишинговый опыт для жертв безупречным и подлинным.
Почему этот метод атаки небезопасен
Возможность подгонять фишинговые страницы под провайдера электронной почты жертвы делает эту кампанию особенно обманчивой. Знакомство с поддельной страницей входа в сочетании с хорошо составленным фишинговым письмом увеличивает вероятность того, что пользователь неосознанно введет свои учетные данные.
Используя интеллект на основе DNS, Morphing Meerkat выводит фишинговые атаки на новый уровень сложности, делая их более сложными для обнаружения и более убедительными, чем когда-либо прежде. Эксперты по кибербезопасности продолжают отслеживать и анализировать его развивающиеся тактики, чтобы смягчить его воздействие.
