Morphing Meerkat Kimlik Avı Kiti
Siber güvenlik araştırmacıları, 114'ten fazla markayı taklit eden sahte oturum açma sayfaları oluşturmak için Alan Adı Sistemi (DNS) posta değişim (MX) kayıtlarını kullanan gelişmiş bir Phishing-as-a-Service (PhaaS) platformunu ortaya çıkardı. Morphing Meerkat takma adıyla takip edilen bu operasyonun arkasındaki aktör, kullanıcı kimlik bilgilerini toplamak için büyük ölçekli kimlik avı kampanyaları yürütüyor.
İçindekiler
Morphing Meerkat Nasıl Çalışır
Saldırganlar, kimlik avı bağlantıları dağıtmak ve çalınan kimlik bilgilerini sızdırmak için birden fazla taktik kullanır. Bunlar şunları içerir:
- Açık Yönlendirmeleri Kullanma: Reklam teknolojisi altyapısındaki güvenlik açıklarından yararlanırlar.
- Alan Adlarını Ele Geçirme: Hacklenen web siteleri, kimlik avı içeriklerini barındırmak için kullanılır.
- Telegram'ı Sızdırma Amaçlı Kullanma: Çalınan kimlik bilgileri Telegram aracılığıyla tehdit aktörlerine gönderiliyor.
Temmuz 2024'te belgelenen bir kampanya, sözde paylaşılan bir belgeye bağlantılar içeren kimlik avı e-postalarını içeriyordu. Bağlantıya tıklamak kullanıcıları Cloudflare R2'de barındırılan sahte bir oturum açma sayfasına yönlendirdi ve burada kimlik bilgileri toplandı ve saldırganlara gönderildi.
Akıllı Taktiklerle Güvenliği Aşmak
Morphing Meerkat, güvenlik savunmalarını aşarak binlerce kimlik avı e-postasını başarıyla iletti. Bunu şu şekilde başardı:
- Tehlikeye Atılmış WordPress Sitelerinden Yararlanma : Meşru ancak saldırıya uğramış web sitelerinde kimlik avı sayfalarını barındırma.
- Açık Yönlendirme Güvenlik Açıklarından Yararlanma : Güvenlik tespitinden kaçınmak için Google'a ait DoubleClick gibi reklam platformlarını kullanma.
Kimlik avı platformu ayrıca içerikleri İngilizce, Korece, İspanyolca, Rusça, Almanca, Çince ve Japonca gibi birden fazla dile dinamik olarak çevirerek etkinliğini artırıyor ve böylece dünya çapındaki kurbanları hedef alabiliyor.
Gelişmiş Kaçınma Teknikleri
Morphing Meerkat, tespit edilmekten kaçınmak için çeşitli anti-analiz ve karartma teknikleri kullanır:
- Kod Karartma ve Şişirme : Kimlik avı sayfalarının analizini zorlaştırır.
- Sağ Tıklama ve Kısayol Tuşlarını Devre Dışı Bırakma: Güvenlik araştırmacılarının kimlik avı sayfasının kaynak kodunu hızlıca görüntülemesini veya kaydetmesini engeller.
Kişiye Özel Kimlik Avında DNS MX Kayıtlarının Rolü
Morphing Meerkat'ı diğer kimlik avı tehditlerinden ayıran şey, kimlik avı saldırılarını özelleştirmek için DNS MX kayıtlarını kullanmasıdır. Kimlik avı kiti, kurbanın e-posta servis sağlayıcısını (Gmail, Microsoft Outlook veya Yahoo! gibi) belirlemek için Cloudflare veya Google'dan MX kayıtlarını alır ve ardından eşleşen sahte bir oturum açma sayfası sunar.
Phishing kiti MX kaydını tanıyamazsa, varsayılan olarak bir Roundcube oturum açma sayfası görüntüler. Bu dinamik özelleştirme, phishing deneyimini kurbanlara kusursuz ve otantik göstererek başarı olasılığını önemli ölçüde artırır.
Bu Saldırı Yöntemi Neden Güvenli Değildir
Kimlik avı sayfalarını kurbanın e-posta sağlayıcısına göre uyarlama yeteneği bu kampanyayı özellikle aldatıcı hale getirir. Sahte giriş sayfasının aşinalığı, iyi hazırlanmış bir kimlik avı e-postasıyla birleştiğinde, bir kullanıcının bilmeden kimlik bilgilerini girme olasılığını artırır.
DNS tabanlı istihbarattan yararlanarak Morphing Meerkat, kimlik avı saldırılarını yeni bir karmaşıklık düzeyine taşıyarak, tespit edilmelerini zorlaştırıyor ve her zamankinden daha ikna edici hale getiriyor. Siber güvenlik uzmanları, etkisini azaltmak için gelişen taktiklerini izlemeye ve analiz etmeye devam ediyor.
