Morphing Meerkat Phishing Kit

網路安全研究人員發現了一個複雜的網路釣魚即服務 (PhaaS) 平台，該平台利用網域名稱系統 (DNS) 郵件交換 (MX) 記錄來創建模仿 114 多個品牌的虛假登錄頁面。這次行動的幕後黑手是 Morphing Meerkat，他一直致力於大規模網路釣魚活動以獲取用戶憑證。

變形貓鼬的運作方式

攻擊者採用多種策略來分發網路釣魚連結並竊取被盜憑證。這些包括：

• 利用開放重定向：他們利用廣告科技基礎設施的漏洞。
• 受損網域名稱：被駭客入侵的網站用於託管網路釣魚內容。
• 使用 Telegram 進行資料外洩：被盜的憑證會透過 Telegram 發送給威脅行為者。

2024 年 7 月的一項有記錄的活動涉及網路釣魚電子郵件，其中包含指向所謂共享文件的連結。點擊該連結會將使用者引導至託管在 Cloudflare R2 上的偽造登入頁面，該頁面會收集使用者的憑證並將其發送給攻擊者。

利用巧妙的策略繞過安全措施

變形貓鼬已成功發送了數千封網路釣魚電子郵件，並繞過了安全防禦措施。它透過以下方式實現此目的：

• 利用受感染的 WordPress 網站：在合法但被駭客入侵的網站上託管網路釣魚頁面。
• 利用開放重定向漏洞：使用 Google 旗下的 DoubleClick 等廣告平台來逃避安全偵測。

這個網路釣魚平台還透過將內容動態翻譯成多種語言（包括英語、韓語、西班牙語、俄語、德語、中文和日語）來增強其有效性，使其能夠瞄準全球受害者。

進階逃避技術

Morphing Meerkat 採用了多種反分析和混淆技術來逃避偵測：

• 程式碼混淆和膨脹：使網路釣魚頁面更難分析。
• 停用右鍵單擊和熱鍵：阻止安全研究人員快速查看或儲存釣魚頁面原始碼。

DNS MX 記錄在客製化網路釣魚中的作用

Morphing Meerkat 與其他網路釣魚威脅的不同之處在於它使用 DNS MX 記錄來客製化網路釣魚攻擊。網路釣魚工具包從 Cloudflare 或 Google 擷取 MX 記錄以識別受害者的電子郵件服務提供者（例如 Gmail、Microsoft Outlook 或 Yahoo!），然後提供相符的虛假登入頁面。

如果網路釣魚工具包無法辨識 MX 記錄，則預設顯示 Roundcube 登入頁面。這種動態客製化使網路釣魚體驗在受害者看來無縫且真實，從而大大增加了成功的可能性。

為什麼這種攻擊方法不安全

根據受害者的電子郵件提供者自訂網路釣魚頁面的能力使此活動特別具有欺騙性。虛假登入頁面的熟悉度，加上精心製作的網路釣魚電子郵件，增加了使用者在不知情的情況下輸入其憑證的可能性。

透過利用基於 DNS 的情報，Morphing Meerkat 將網路釣魚攻擊提升到一個新的複雜程度，使其比以往更難檢測、更具說服力。網路安全專家持續追蹤和分析其不斷演變的策略，以減輕其影響。