Morphing Meerkat Phishing Kit
Cybersicherheitsforscher haben eine ausgeklügelte Phishing-as-a-Service-Plattform (PhaaS) entdeckt, die Mail-Exchange-Einträge (MX) des Domain Name System (DNS) nutzt, um gefälschte Anmeldeseiten zu erstellen, die über 114 Marken imitieren. Der dahinterstehende Akteur, der unter dem Pseudonym Morphing Meerkat bekannt ist, führt groß angelegte Phishing-Kampagnen durch, um an Benutzeranmeldeinformationen zu gelangen.
Inhaltsverzeichnis
So funktioniert das Morphing-Erdmännchen
Die Angreifer nutzen verschiedene Taktiken, um Phishing-Links zu verbreiten und gestohlene Anmeldeinformationen abzugreifen. Dazu gehören:
- Ausnutzen offener Weiterleitungen: Sie nutzen Schwachstellen in der Adtech-Infrastruktur aus.
- Kompromittierende Domänen: Gehackte Websites werden zum Hosten von Phishing-Inhalten verwendet.
- Verwenden von Telegram zur Exfiltration: Gestohlene Anmeldeinformationen werden über Telegram an Bedrohungsakteure gesendet.
Eine dokumentierte Kampagne aus dem Juli 2024 umfasste Phishing-E-Mails mit Links zu einem angeblich freigegebenen Dokument. Klickte man auf den Link, gelangte man auf eine gefälschte Anmeldeseite, die auf Cloudflare R2 gehostet wurde. Dort wurden die Anmeldedaten abgegriffen und an die Angreifer gesendet.
Mit cleveren Taktiken die Sicherheit umgehen
Das Morphing Meerkat hat erfolgreich Tausende von Phishing-E-Mails zugestellt und dabei Sicherheitsvorkehrungen umgangen. Dies wird durch Folgendes erreicht:
- Ausnutzung kompromittierter WordPress-Sites : Hosten von Phishing-Seiten auf legitimen, aber gehackten Websites.
- Ausnutzen von offenen Weiterleitungsschwachstellen : Verwenden von Werbeplattformen wie DoubleClick, das zu Google gehört, um der Sicherheitserkennung zu entgehen.
Die Phishing-Plattform steigert ihre Effektivität außerdem durch die dynamische Übersetzung von Inhalten in mehrere Sprachen, darunter Englisch, Koreanisch, Spanisch, Russisch, Deutsch, Chinesisch und Japanisch, sodass Opfer auf der ganzen Welt ins Visier genommen werden können.
Fortgeschrittene Ausweichtechniken
Das Morphing Meerkat verwendet mehrere Anti-Analyse- und Verschleierungstechniken, um der Erkennung zu entgehen:
- Code-Verschleierung und -Aufblähung : Erschwert die Analyse der Phishing-Seiten.
Die Rolle von DNS-MX-Einträgen beim maßgeschneiderten Phishing
Was Morphing Meerkat von anderen Phishing-Bedrohungen unterscheidet, ist die Verwendung von DNS-MX-Einträgen zur Anpassung von Phishing-Angriffen. Das Phishing-Kit ruft MX-Einträge von Cloudflare oder Google ab, um den E-Mail-Dienstanbieter des Opfers – beispielsweise Gmail, Microsoft Outlook oder Yahoo! – zu identifizieren und stellt anschließend eine passende gefälschte Anmeldeseite bereit.
Wenn das Phishing-Kit den MX-Eintrag nicht erkennt, wird standardmäßig eine Roundcube-Anmeldeseite angezeigt. Diese dynamische Anpassung erhöht die Erfolgswahrscheinlichkeit erheblich, da das Phishing-Erlebnis für die Opfer nahtlos und authentisch erscheint.
Warum diese Angriffsmethode unsicher ist
Die Möglichkeit, Phishing-Seiten auf den E-Mail-Anbieter des Opfers zuzuschneiden, macht diese Kampagne besonders irreführend. Die Vertrautheit der gefälschten Anmeldeseite in Verbindung mit einer gut gestalteten Phishing-E-Mail erhöht die Wahrscheinlichkeit, dass ein Benutzer unwissentlich seine Anmeldedaten eingibt.
Durch die Nutzung DNS-basierter Intelligenz hebt Morphing Meerkat Phishing-Angriffe auf ein neues Niveau der Raffinesse. Sie sind dadurch schwerer zu erkennen und überzeugender als je zuvor. Cybersicherheitsexperten verfolgen und analysieren kontinuierlich die sich entwickelnden Taktiken, um ihre Auswirkungen einzudämmen.
