Bộ công cụ lừa đảo Morphing Meerkat

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một nền tảng Phishing-as-a-Service (PhaaS) tinh vi khai thác các bản ghi trao đổi thư (MX) của Hệ thống tên miền (DNS) để tạo các trang đăng nhập giả mạo bắt chước hơn 114 thương hiệu. Kẻ đứng sau hoạt động này, được theo dõi dưới bí danh Morphing Meerkat, đã tham gia vào các chiến dịch lừa đảo quy mô lớn để thu thập thông tin đăng nhập của người dùng.

Cách thức hoạt động của Meerkat biến hình

Những kẻ tấn công sử dụng nhiều chiến thuật để phân phối các liên kết lừa đảo và đánh cắp thông tin đăng nhập bị đánh cắp. Bao gồm:

• Khai thác Open Redirects: Họ lợi dụng lỗ hổng trong cơ sở hạ tầng công nghệ quảng cáo.
• Tên miền bị xâm phạm: Các trang web bị tấn công được sử dụng để lưu trữ nội dung lừa đảo.
• Sử dụng Telegram để truyền dữ liệu ra ngoài: Thông tin đăng nhập bị đánh cắp sẽ được gửi đến kẻ tấn công thông qua Telegram.

Một chiến dịch được ghi nhận từ tháng 7 năm 2024 liên quan đến email lừa đảo có chứa liên kết đến một tài liệu được cho là được chia sẻ. Nhấp vào liên kết sẽ chuyển hướng người dùng đến một trang đăng nhập giả mạo được lưu trữ trên Cloudflare R2, nơi thông tin đăng nhập của họ bị thu thập và gửi cho kẻ tấn công.

Bỏ qua bảo mật bằng chiến thuật thông minh

Morphing Meerkat đã thành công trong việc gửi hàng ngàn email lừa đảo trong khi bỏ qua các biện pháp bảo vệ an ninh. Nó thực hiện điều này bằng cách:

• Tận dụng các trang web WordPress bị xâm phạm : Lưu trữ các trang lừa đảo trên các trang web hợp pháp nhưng đã bị tấn công.
• Khai thác lỗ hổng chuyển hướng mở : Sử dụng các nền tảng quảng cáo như DoubleClick thuộc sở hữu của Google để trốn tránh phát hiện bảo mật.

Nền tảng lừa đảo này còn tăng cường hiệu quả bằng cách dịch nội dung một cách linh hoạt sang nhiều ngôn ngữ, bao gồm tiếng Anh, tiếng Hàn, tiếng Tây Ban Nha, tiếng Nga, tiếng Đức, tiếng Trung và tiếng Nhật, cho phép nhắm mục tiêu vào nạn nhân trên toàn thế giới.

Kỹ thuật né tránh nâng cao

Morphing Meerkat sử dụng một số kỹ thuật chống phân tích và che giấu để tránh bị phát hiện:

• Làm tối nghĩa và thổi phồng mã : Làm cho các trang lừa đảo khó phân tích hơn.
• Vô hiệu hóa Nhấp chuột phải và Phím tắt: Ngăn các nhà nghiên cứu bảo mật xem hoặc lưu nhanh mã nguồn của trang lừa đảo.

Vai trò của Bản ghi DNS MX trong Lừa đảo có điều chỉnh

Điểm khác biệt giữa Morphing Meerkat với các mối đe dọa lừa đảo khác là việc sử dụng bản ghi MX DNS để tùy chỉnh các cuộc tấn công lừa đảo. Bộ công cụ lừa đảo này sẽ lấy bản ghi MX từ Cloudflare hoặc Google để xác định nhà cung cấp dịch vụ email của nạn nhân—chẳng hạn như Gmail, Microsoft Outlook hoặc Yahoo!—và sau đó cung cấp một trang đăng nhập giả mạo tương ứng.

Nếu bộ công cụ lừa đảo không nhận dạng được bản ghi MX, nó sẽ mặc định hiển thị trang đăng nhập Roundcube. Tùy chỉnh động này làm tăng đáng kể khả năng thành công bằng cách làm cho trải nghiệm lừa đảo có vẻ liền mạch và chân thực đối với nạn nhân.

Tại sao phương pháp tấn công này không an toàn

Khả năng tùy chỉnh các trang lừa đảo theo nhà cung cấp email của nạn nhân khiến chiến dịch này đặc biệt lừa đảo. Sự quen thuộc của trang đăng nhập giả mạo, cùng với email lừa đảo được thiết kế khéo léo, làm tăng khả năng người dùng vô tình nhập thông tin đăng nhập của họ.

Bằng cách tận dụng trí thông minh dựa trên DNS, Morphing Meerkat nâng các cuộc tấn công lừa đảo lên một cấp độ tinh vi mới, khiến chúng khó bị phát hiện hơn và thuyết phục hơn bao giờ hết. Các chuyên gia an ninh mạng tiếp tục theo dõi và phân tích các chiến thuật đang phát triển của nó để giảm thiểu tác động của nó.