Morphing Meerkat Phishing Kit

Raziskovalci kibernetske varnosti so odkrili sofisticirano platformo Phishing-as-a-Service (PhaaS), ki izkorišča zapise izmenjave pošte (MX) sistema domenskih imen (DNS) za ustvarjanje lažnih prijavnih strani, ki posnemajo več kot 114 blagovnih znamk. Igralec, ki stoji za to operacijo, sledi mu pod vzdevkom Morphing Meerkat, se ukvarja z obsežnimi kampanjami lažnega predstavljanja, da bi pridobil uporabniške poverilnice.

Kako deluje Morphing Meerkat

Napadalci uporabljajo več taktik za distribucijo lažnih povezav in izločanje ukradenih poverilnic. Ti vključujejo:

• Izkoriščanje odprtih preusmeritev: izkoriščajo ranljivosti v adtech infrastrukturi.
• Ogrožanje domen: Spletna mesta, na katerih je prišlo do vdora, se uporabljajo za gostovanje lažnega predstavljanja.
• Uporaba Telegrama za Exfiltration: Ukradene poverilnice se pošiljajo akterjem groženj prek Telegrama.

Ena dokumentirana kampanja iz julija 2024 je vključevala e-poštna sporočila z lažnim predstavljanjem, ki so vsebovala povezave do domnevnega dokumenta v skupni rabi. Klik na povezavo je uporabnike usmeril na ponarejeno prijavno stran, gostovano na Cloudflare R2, kjer so bile njihove poverilnice zbrane in poslane napadalcem.

Obhod varnosti s pametnimi taktikami

Morphing Meerkat je uspešno dostavil na tisoče lažnih e-poštnih sporočil, medtem ko je zaobšel varnostne obrambe. To doseže z:

• Izkoriščanje ogroženih spletnih mest WordPress : gostovanje strani z lažnim predstavljanjem na zakonitih spletnih mestih, na katerih je prišlo do vdora.
• Izkoriščanje ranljivosti odprte preusmeritve : uporaba oglaševalskih platform, kot je DoubleClick v lasti Googla, za izogibanje varnostnemu zaznavanju.

Platforma za lažno predstavljanje povečuje svojo učinkovitost tudi z dinamičnim prevajanjem vsebine v več jezikov, vključno z angleščino, korejščino, španščino, ruščino, nemščino, kitajščino in japonščino, kar ji omogoča ciljanje na žrtve po vsem svetu.

Napredne tehnike izogibanja

Morphing Meerkat uporablja več tehnik protianalize in zamegljevanja, da se izogne odkrivanju:

• Zakrivanje in napihovanje kode : naredi lažne strani težje analizirati.
• Onemogočanje desnega klika in bližnjičnih tipk: varnostnim raziskovalcem prepreči hiter ogled ali shranjevanje izvorne kode strani z lažnim predstavljanjem.

Vloga zapisov DNS MX pri prilagojenem lažnem predstavljanju

Kar ločuje Morphing Meerkat od drugih groženj lažnega predstavljanja, je njegova uporaba zapisov DNS MX za prilagajanje napadov lažnega predstavljanja. Komplet za lažno predstavljanje pridobi zapise MX iz Cloudflare ali Googla, da prepozna ponudnika e-poštnih storitev žrtve, kot je Gmail, Microsoft Outlook ali Yahoo!, in nato ponudi ustrezno lažno stran za prijavo.

Če komplet za lažno predstavljanje ne prepozna zapisa MX, privzeto prikaže prijavno stran Roundcube. Ta dinamična prilagoditev bistveno poveča verjetnost uspeha, saj je izkušnja lažnega predstavljanja žrtvam videti brezhibna in pristna.

Zakaj ta metoda napada ni varna

Zmožnost prilagajanja lažnih strani ponudniku e-pošte žrtve naredi to kampanjo še posebej zavajajočo. Poznavanje lažne prijavne strani, skupaj z dobro oblikovanim lažnim e-poštnim sporočilom, poveča možnosti, da bo uporabnik nevede vnesel svoje poverilnice.

Z izkoriščanjem inteligence, ki temelji na DNS, Morphing Meerkat povzdigne napade z lažnim predstavljanjem na novo raven sofisticiranosti, zaradi česar so težje zaznavni in bolj prepričljivi kot kdaj koli prej. Strokovnjaki za kibernetsko varnost še naprej spremljajo in analizirajo njegove razvijajoče se taktike, da bi ublažili njegov vpliv.