Istraživači iz oblasti cyber sigurnosti otkrili su novu platformu za phishing kao uslugu (PhaaS), koja koristi zapise razmjene pošte (MX) u okviru Domain Name System-a (DNS) za prikaz lažnih stranica za prijavu, imitirajući oko 114 različitih brendova.
Firma za DNS inteligenciju, Infoblox, prati hakera koji stoji iza ovog phishing alata, kao i povezane aktivnosti, pod nazivom Morphing Meerkat.
„Napadač često koristi otvorene preusmjeravanja na adtech infrastrukturi, kompromituje domene za distribuciju phishing napada i distribuira ukradene pristupne podatke putem više metoda, uključujući Telegram“, navodi se u izvještaju kompanije Infoblox podijeljenom sa The Hacker News.
Jedna od kampanja koje koriste ovaj PhaaS alat dokumentovana je od strane Forcepoint-a u julu 2024. godine. Phishing e-mailovi su sadržavali linkove do navodno dijeljenog dokumenta koji bi, kada se otvori, preusmjerio korisnika na lažnu stranicu za prijavu hostovanu na Cloudflare R2. Cilj je bio prikupljanje i eksfiltracija pristupnih podataka putem Telegrama.
Morphing Meerkat je, prema procjenama, poslao na hiljade spam e-mailova, pri čemu su phishing poruke koristile kompromitovane WordPress web stranice i ranjivosti otvorenih preusmjeravanja na reklamnim platformama poput Google-ovog DoubleClick-a kako bi zaobišle sigurnosne filtere.
Takođe, ovaj alat je sposoban dinamički prevesti phishing sadržaj na više od deset različitih jezika, uključujući engleski, korejski, španski, ruski, njemački, kineski i japanski, čime cilja korisnike širom svijeta.
Osim obfuskacije i inflacije koda radi otežavanja analize, phishing stranice uključuju i anti-analitičke mjere, kao što su zabrana desnog klika mišem i onemogućavanje kombinacija tipki Ctrl + S (za čuvanje stranice u HTML formatu) i Ctrl + U (za pregled izvornog koda stranice).
Ono što ovog aktera čini zaista jedinstvenim jeste korištenje DNS MX zapisa preuzetih s Cloudflare-a ili Google-a kako bi se identifikovao pružatelj e-mail usluge žrtve (npr. Gmail, Microsoft Outlook ili Yahoo!) i dinamički prikazala lažna stranica za prijavu. Ako phishing alat ne prepozna MX zapis, podrazumijevano prikazuje stranicu za prijavu na Roundcube-u.
„Ova metoda napada je korisna za hakere jer im omogućava precizno ciljane napade, prikazujući web sadržaj koji je vizuelno i funkcionalno sličan legitimnoj e-mail usluzi žrtve“, ističe Infoblox.
„Cjelokupno phishing iskustvo izgleda prirodno jer je dizajn stranice za prijavu u skladu sa sadržajem phishing e-maila. Ova tehnika pomaže napadačima da prevare žrtve i navedu ih da unesu svoje e-mail pristupne podatke na lažni web obrazac.“
Izvor:The Hacker News
