Morphing Meerkat Phishing Kit

Natuklasan ng mga mananaliksik sa cybersecurity ang isang sopistikadong Phishing-as-a-Service (PhaaS) na platform na nagsasamantala sa mga talaan ng Domain Name System (DNS) mail exchange (MX) upang lumikha ng mga pekeng login page na ginagaya ang higit sa 114 na brand. Ang aktor sa likod ng operasyong ito, na sinusubaybayan sa ilalim ng alyas na Morphing Meerkat, ay nakikibahagi sa malakihang mga kampanya sa phishing upang makakuha ng mga kredensyal ng user.

Paano Gumagana ang Morphing Meerkat

Gumagamit ang mga umaatake ng maraming taktika upang ipamahagi ang mga link sa phishing at i-exfiltrate ang mga ninakaw na kredensyal. Kabilang dito ang:

• Pagsasamantala sa Mga Bukas na Pag-redirect: Sinasamantala nila ang mga kahinaan sa imprastraktura ng adtech.
• Mga Nakompromisong Domain: Ang mga na-hack na website ay ginagamit upang mag-host ng nilalamang phishing.
• Paggamit ng Telegram para sa Exfiltration: Ang mga ninakaw na kredensyal ay ipinapadala sa mga aktor ng pagbabanta sa pamamagitan ng Telegram.

Ang isang dokumentadong campaign mula Hulyo 2024 ay nagsasangkot ng mga phishing na email na naglalaman ng mga link sa isang dapat na nakabahaging dokumento. Ang pag-click sa link ay nagdidirekta sa mga user sa isang huwad na pahina sa pag-log in na naka-host sa Cloudflare R2, kung saan ang kanilang mga kredensyal ay kinuha at ipinadala sa mga umaatake.

Pag-bypass sa Seguridad gamit ang Matalinong Taktika

Ang Morphing Meerkat ay matagumpay na nakapaghatid ng libu-libong phishing email habang nilalampasan ang mga panseguridad na panlaban. Nakakamit ito sa pamamagitan ng:

• Paggamit ng Mga Nakompromisong WordPress Site : Pagho-host ng mga pahina ng phishing sa mga lehitimong ngunit na-hack na mga website.
• Pagsasamantala sa Open Redirect Vulnerabilities : Paggamit ng mga platform ng advertising tulad ng Google-owned DoubleClick upang maiwasan ang pagtuklas ng seguridad.

Pinapahusay din ng platform ng phishing ang pagiging epektibo nito sa pamamagitan ng pabago-bagong pagsasalin ng nilalaman sa maraming wika, kabilang ang English, Korean, Spanish, Russian, German, Chinese, at Japanese, na nagbibigay-daan dito na mag-target ng mga biktima sa buong mundo.

Mga Advanced na Teknik sa Pag-iwas

Gumagamit ang Morphing Meerkat ng ilang mga diskarte sa anti-analysis at obfuscation upang maiwasan ang pagtuklas:

• Code Obfuscation at Inflation : Ginagawang mas mahirap suriin ang mga pahina ng phishing.

Ang Papel ng DNS MX Records sa Iniangkop na Phishing

Ang pinagkaiba ng Morphing Meerkat sa iba pang mga banta sa phishing ay ang paggamit nito ng mga tala ng DNS MX upang i-customize ang mga pag-atake sa phishing. Kinukuha ng phishing kit ang mga MX record mula sa Cloudflare o Google upang matukoy ang email service provider ng biktima—gaya ng Gmail, Microsoft Outlook, o Yahoo!—at pagkatapos ay maghahatid ng katugmang pekeng pahina sa pag-log in.

Kung nabigo ang phishing kit na makilala ang MX record, magde-default ito sa pagpapakita ng Roundcube login page. Ang dynamic na pag-customize na ito ay makabuluhang pinapataas ang posibilidad na magtagumpay sa pamamagitan ng paggawa ng karanasan sa phishing na mukhang seamless at tunay sa mga biktima.

Bakit Hindi Ligtas ang Paraan ng Pag-atake na ito

Ang kakayahang iangkop ang mga pahina ng phishing sa email provider ng biktima ay ginagawang partikular na mapanlinlang ang kampanyang ito. Ang pagiging pamilyar sa pekeng pahina sa pag-log in, kasama ng isang mahusay na ginawang phishing na email, ay nagpapataas ng mga pagkakataong hindi namamalayan ng isang user na maipasok ang kanilang mga kredensyal.

Sa pamamagitan ng paggamit ng DNS-based na intelligence, itinataas ng Morphing Meerkat ang mga pag-atake sa phishing sa isang bagong antas ng pagiging sopistikado, na ginagawang mas mahirap itong matukoy at mas nakakumbinsi kaysa dati. Patuloy na sinusubaybayan at sinusuri ng mga eksperto sa cybersecurity ang mga umuusbong na taktika nito para mabawasan ang epekto nito.