Morphing Meerkat Phishing Kit

网络安全研究人员发现了一个复杂的网络钓鱼即服务 (PhaaS) 平台，该平台利用域名系统 (DNS) 邮件交换 (MX) 记录来创建模仿 114 多个品牌的虚假登录页面。该行动的幕后黑手名为 Morphing Meerkat，一直在进行大规模网络钓鱼活动以获取用户凭据。

变形猫鼬的运作方式

攻击者采用多种策略来分发网络钓鱼链接并窃取被盗凭证。这些包括：

• 利用开放重定向：他们利用广告技术基础设施中的漏洞。
• 受损域名：被黑客入侵的网站用于托管网络钓鱼内容。
• 使用 Telegram 进行数据泄露：被盗的凭证通过 Telegram 发送给威胁行为者。

2024 年 7 月的一项记录在案的活动涉及网络钓鱼电子邮件，其中包含指向所谓共享文档的链接。单击该链接会将用户引导至托管在 Cloudflare R2 上的伪造登录页面，在那里他们的凭据会被收集并发送给攻击者。

利用巧妙的策略绕过安全措施

变形猫鼬已成功发送了数千封钓鱼邮件，同时绕过了安全防御。它通过以下方式实现此目的：

• 利用受感染的 WordPress 网站：在合法但被黑客入侵的网站上托管网络钓鱼页面。
• 利用开放重定向漏洞：使用 Google 旗下的 DoubleClick 等广告平台来逃避安全检测。

该网络钓鱼平台还通过将内容动态翻译成多种语言（包括英语、韩语、西班牙语、俄语、德语、中文和日语）来增强其有效性，使其能够瞄准全球受害者。

高级逃避技术

Morphing Meerkat 采用了多种反分析和混淆技术来逃避检测：

• 代码混淆和膨胀：使网络钓鱼页面更难分析。
• 禁用右键单击和热键：阻止安全研究人员快速查看或保存钓鱼页面源代码。

DNS MX 记录在定制网络钓鱼中的作用

Morphing Meerkat 与其他网络钓鱼威胁的不同之处在于，它使用 DNS MX 记录来定制网络钓鱼攻击。网络钓鱼工具包从 Cloudflare 或 Google 检索 MX 记录，以识别受害者的电子邮件服务提供商（例如 Gmail、Microsoft Outlook 或 Yahoo!），然后提供匹配的虚假登录页面。

如果网络钓鱼工具包无法识别 MX 记录，则默认显示 Roundcube 登录页面。这种动态自定义功能可让网络钓鱼体验在受害者看来无缝且真实，从而大大提高成功的可能性。

为什么这种攻击方法不安全

能够根据受害者的电子邮件提供商定制钓鱼页面使得此活动特别具有欺骗性。虚假登录页面的熟悉性，加上精心制作的钓鱼电子邮件，增加了用户在不知情的情况下输入其凭据的可能性。

通过利用基于 DNS 的情报，Morphing Meerkat 将网络钓鱼攻击提升到一个新的复杂程度，使其比以往更难检测且更具说服力。网络安全专家继续跟踪和分析其不断发展的策略，以减轻其影响。