Morphing Surikata Phishing Kit
Výskumníci v oblasti kybernetickej bezpečnosti odhalili sofistikovanú platformu Phishing-as-a-Service (PhaaS), ktorá využíva záznamy o výmene pošty (MX) systému názvov domén (DNS) na vytváranie falošných prihlasovacích stránok napodobňujúcich viac ako 114 značiek. Aktér za touto operáciou, sledovaný pod prezývkou Morphing Meerkat, sa zapája do rozsiahlych phishingových kampaní na získavanie poverení používateľov.
Obsah
Ako funguje Morphing Surikata
Útočníci využívajú viacero taktík na distribúciu phishingových odkazov a únik ukradnutých prihlasovacích údajov. Patria sem:
- Využívanie otvorených presmerovaní: Využívajú slabé miesta v infraštruktúre adtech.
- Kompromitujúce domény: Napadnuté webové stránky sa používajú na hosťovanie phishingového obsahu.
- Použitie telegramu na exfiltráciu: Ukradnuté poverenia sa odosielajú aktérom hrozby prostredníctvom telegramu.
Jedna zdokumentovaná kampaň z júla 2024 zahŕňala phishingové e-maily obsahujúce odkazy na údajný zdieľaný dokument. Kliknutím na odkaz boli používatelia presmerovaní na falošnú prihlasovaciu stránku hostenú na Cloudflare R2, kde boli zozbierané ich poverenia a odoslané útočníkom.
Obchádzanie bezpečnosti pomocou šikovnej taktiky
Morphing Surikata úspešne doručila tisíce phishingových e-mailov, pričom obišla bezpečnostnú obranu. Dosahuje to:
- Využitie kompromitovaných stránok WordPress : Hostenie phishingových stránok na legitímnych, ale napadnutých webových stránkach.
- Využívanie slabých miest v oblasti otvoreného presmerovania : Používanie inzertných platforiem, ako je DoubleClick vlastnená spoločnosťou Google, aby ste sa vyhli detekcii zabezpečenia.
Phishingová platforma tiež zvyšuje svoju efektivitu dynamickým prekladom obsahu do viacerých jazykov vrátane angličtiny, kórejčiny, španielčiny, ruštiny, nemčiny, čínštiny a japončiny, čo jej umožňuje zamerať sa na obete na celom svete.
Pokročilé únikové techniky
Morphing Surikata využíva niekoľko antianalytických a zahmlievacích techník, aby sa vyhla detekcii:
- Zahmlievanie a inflácia kódu : Sťažuje analýzu phishingových stránok.
- Vypnutie pravého kliknutia a klávesových skratiek: Zabráni bezpečnostným výskumníkom v rýchlom zobrazení alebo uložení zdrojového kódu phishingovej stránky.
Úloha DNS MX záznamov v prispôsobenom phishingu
To, čo odlišuje Morphing Meerkat od iných phishingových hrozieb, je použitie záznamov DNS MX na prispôsobenie phishingových útokov. Phishingová súprava načítava záznamy MX z Cloudflare alebo Google, aby identifikovala poskytovateľa e-mailových služieb obete – ako je Gmail, Microsoft Outlook alebo Yahoo! – a potom zobrazí zodpovedajúcu falošnú prihlasovaciu stránku.
Ak phishing kit nedokáže rozpoznať záznam MX, predvolene zobrazí prihlasovaciu stránku Roundcube. Toto dynamické prispôsobenie výrazne zvyšuje pravdepodobnosť úspechu tým, že sa phishing javí obetiam bezproblémovo a autenticky.
Prečo je táto metóda útoku nebezpečná
Schopnosť prispôsobiť phishingové stránky poskytovateľovi e-mailu obete robí túto kampaň obzvlášť klamlivou. Známosť falošnej prihlasovacej stránky spolu s dobre vytvoreným phishingovým e-mailom zvyšuje pravdepodobnosť, že používateľ nevedomky zadá svoje prihlasovacie údaje.
Využitím inteligencie založenej na DNS, Morphing Meerkat povyšuje phishingové útoky na novú úroveň sofistikovanosti, vďaka čomu sú ťažšie odhaliteľné a presvedčivejšie než kedykoľvek predtým. Odborníci na kybernetickú bezpečnosť naďalej sledujú a analyzujú jej vyvíjajúcu sa taktiku na zmiernenie jej vplyvu.
