Морпхинг Мееркат Пхисхинг Кит
Истраживачи сајбер безбедности открили су софистицирану платформу Пхисхинг-ас-а-Сервице (ПхааС) која користи записе о размени поште (МКС) система имена домена (ДНС) за креирање лажних страница за пријављивање које опонашају преко 114 брендова. Глумац који стоји иза ове операције, праћен под псеудонимом Морпхинг Мееркат, учествовао је у великим кампањама пхисхинга како би прикупио корисничке акредитиве.
Преглед садржаја
Како функционише Морфинг Мееркат
Нападачи користе више тактика да дистрибуирају пхисхинг везе и ексфилтрирају украдене акредитиве. То укључује:
- Искоришћавање отворених преусмеравања: Они користе предности рањивости у адтецх инфраструктури.
- Компромитујући домени: Хаковане веб локације се користе за хостовање пхисхинг садржаја.
- Коришћење Телеграма за ексфилтрацију: Украдени акредитиви се шаљу актерима претњи путем Телеграма.
Једна документована кампања из јула 2024. укључивала је пхисхинг мејлове који су садржали везе до наводног заједничког документа. Кликом на везу корисници су се усмеравали на лажну страницу за пријаву хостовану на Цлоудфларе Р2, где су њихови акредитиви прикупљени и послати нападачима.
Заобилажење безбедности помоћу паметне тактике
Морпхинг Мееркат је успешно испоручио хиљаде пхисхинг порука е-поште заобилазећи безбедносну одбрану. То постиже:
- Коришћење компромитованих ВордПресс сајтова : Хостовање страница за крађу идентитета на легитимним, али хакованим веб локацијама.
- Искоришћавање рањивости отвореног преусмеравања : Коришћење платформи за оглашавање као што је ДоублеЦлицк у власништву Гоогле-а да бисте избегли безбедносну детекцију.
Платформа за пхисхинг такође побољшава своју ефикасност динамичким превођењем садржаја на више језика, укључујући енглески, корејски, шпански, руски, немачки, кинески и јапански, омогућавајући јој да циља жртве широм света.
Напредне технике избегавања
Морпхинг Мееркат користи неколико техника против анализе и замагљивања како би избегао откривање:
- Замагљивање и инфлација кода : Отежава анализу страница за крађу идентитета.
- Онемогућавање десних тастера и интервентних тастера: Спречава истраживаче безбедности да брзо прегледају или сачувају изворни код странице за крађу идентитета.
Улога ДНС МКС записа у прилагођеном пхисхинг-у
Оно што Морпхинг Мееркат издваја од других пхисхинг претњи је његова употреба ДНС МКС записа за прилагођавање пхисхинг напада. Комплет за пхисхинг преузима МКС записе од Цлоудфларе-а или Гоогле-а да идентификује добављача услуге е-поште жртве—као што је Гмаил, Мицрософт Оутлоок или Иахоо!—а затим приказује одговарајућу лажну страницу за пријаву.
Ако пхисхинг комплет не препозна МКС запис, подразумевано приказује страницу за пријаву на Роундцубе. Ово динамично прилагођавање значајно повећава вероватноћу успеха тако што чини да пхисхинг искуство изгледа неприметно и аутентично за жртве.
Зашто овај метод напада није безбедан
Могућност да се странице за крађу идентитета прилагоде провајдеру е-поште жртве чини ову кампању посебно варљивом. Познавање лажне странице за пријављивање, заједно са добро направљеном е-поштом за крађу идентитета, повећава шансе да ће корисник несвесно унети своје акредитиве.
Користећи интелигенцију засновану на ДНС-у, Морпхинг Мееркат подиже пхисхинг нападе на нови ниво софистицираности, чинећи их тежим за откривање и убедљивијим него икада раније. Стручњаци за сајбер безбедност настављају да прате и анализирају његове тактике које се развијају како би ублажиле њен утицај.
