Морфінг Meerkat Phishing Kit
Дослідники з кібербезпеки виявили складну платформу Phishing-as-a-Service (PhaaS), яка використовує записи обміну поштою (MX) системи доменних імен (DNS) для створення підроблених сторінок входу, що імітують понад 114 брендів. Актор, який стоїть за цією операцією, якого відстежують під псевдонімом Morphing Meerkat, бере участь у масштабних фішингових кампаніях, щоб отримати облікові дані користувачів.
Зміст
Як працює морфінг-сурикат
Зловмисники використовують кілька тактик, щоб поширювати фішингові посилання та викрадати вкрадені облікові дані. До них належать:
- Використання відкритих переадресацій: вони використовують уразливості в інфраструктурі рекламних технологій.
- Компрометація доменів: зламані веб-сайти використовуються для розміщення фішингового вмісту.
- Використання Telegram для викрадання: викрадені облікові дані надсилаються суб’єктам загрози через Telegram.
Одна задокументована кампанія з липня 2024 року включала фішингові електронні листи з посиланнями на нібито спільний документ. Перехід за посиланням спрямовував користувачів на підроблену сторінку входу, розміщену на Cloudflare R2, де їхні облікові дані збирали та надсилали зловмисникам.
Обхід безпеки за допомогою розумної тактики
Morphing Meerkat успішно доставив тисячі фішингових електронних листів, оминаючи засоби захисту. Це досягається шляхом:
- Використання скомпрометованих сайтів WordPress : розміщення фішингових сторінок на законних, але зламаних веб-сайтах.
- Використання вразливостей відкритого перенаправлення : використання рекламних платформ, як-от DoubleClick, що належить Google, для ухилення від виявлення безпеки.
Фішингова платформа також підвищує свою ефективність за рахунок динамічного перекладу вмісту кількома мовами, включаючи англійську, корейську, іспанську, російську, німецьку, китайську та японську, що дозволяє їй націлюватися на жертв по всьому світу.
Передові методи ухилення
Morphing Meerkat використовує декілька методів антианалізу та обфускації, щоб уникнути виявлення:
- Обфускація коду та інфляція : ускладнює аналіз фішингових сторінок.
- Вимкнення правої кнопки миші та гарячих клавіш: не дозволяє дослідникам безпеки швидко переглядати чи зберігати вихідний код фішингової сторінки.
Роль записів DNS MX у індивідуальному фішингу
Morphing Meerkat відрізняє від інших фішингових загроз використання записів DNS MX для налаштування фішингових атак. Набір для фішингу отримує записи MX від Cloudflare або Google, щоб ідентифікувати постачальника послуг електронної пошти жертви, наприклад Gmail, Microsoft Outlook або Yahoo!, а потім обслуговує відповідну підроблену сторінку входу.
Якщо набору для фішингу не вдається розпізнати запис MX, за умовчанням відображається сторінка входу Roundcube. Ця динамічна настройка значно підвищує ймовірність успіху, завдяки чому жертви виглядають бездоганними та достовірними для фішингу.
Чому цей метод атаки є небезпечним
Можливість адаптувати фішингові сторінки до постачальника електронної пошти жертви робить цю кампанію особливо оманливою. Знайомство з підробленою сторінкою входу в поєднанні з добре створеним фішинговим електронним листом підвищує ймовірність того, що користувач несвідомо введе свої облікові дані.
Використовуючи інтелектуальні дані на основі DNS, Morphing Meerkat піднімає фішингові атаки на новий рівень складності, роблячи їх важчими для виявлення та більш переконливими, ніж будь-коли раніше. Експерти з кібербезпеки продовжують відстежувати та аналізувати тактику, що розвивається, щоб пом’якшити її вплив.
