Cybersecurity-onderzoekers hebben licht geworpen op een nieuw phishing-as-a-service (PHAAS) -platform dat de Domain Name System (DNS) Mail Exchange (MX) -records gebruikt om nep-inlogpagina’s te bedienen die zich voordoen op ongeveer 114 merken.
DNS Intelligence Firm Infablox volgt de acteur achter de PHAAS, de Phishing Kit en de gerelateerde activiteit onder de naam Morphing Meerkat.
“De dreigingsacteur achter de campagnes maakt vaak gebruik van open omleidingen op ADTECH -infrastructuur, compromitteert domeinen voor phishing -distributie en distribueert gestolen referenties via verschillende mechanismen, waaronder Telegram,” zei het bedrijf in een rapport dat wordt gedeeld met het hacker -nieuws.
Een dergelijke campagne die gebruikmaakte van de PHAAS -toolkit werd gedocumenteerd met ForcePoint in juli 2024, waar phishing -e -mails links bevatten naar een vermeende gedeeld document dat, wanneer geklikt, de ontvanger naar een nep -inlogpagina op Cloudflare R2 regisseerde met het einddoel van het verzamelen en uitbreiden van de referenties via telegram.
Morphing Meerkat zal naar schatting duizenden spam-e-mails hebben afgeleverd, met de phishing-berichten met behulp van gecompromitteerde WordPress-websites en om omleidingskwetsbaarheden te openen op advertentieplatforms zoals Google-eigendom DoubleClick om beveiligingsfilters te omzeilen.
Het is ook in staat om phishing content -tekst dynamisch te vertalen in meer dan een dozijn verschillende talen, waaronder Engels, Koreaans, Spaans, Russisch, Duits, Chinees en Japans, om gebruikers over de hele wereld te richten.
Naast het compliceren van code-leesbaarheid via obfuscatie en inflatie, bevatten de phishing-bestemmingspagina’s anti-analysemaatregelen die het gebruik van muis met de rechtermuisknop en de combinaties van toetsenbordhotkey Ctrl + S verbieden (Sla de webpagina op als HTML), Ctrl + U (open de webpagina-broncode).
Maar wat de dreigingsacteur echt opvalt, is het gebruik van DNS MX -records verkregen van Cloudflare of Google om de e -mailserviceprovider van het slachtoffer (bijv. Gmail, Microsoft Outlook of Yahoo!) te identificeren en dynamisch nep -inlogpagina’s te bedienen. In het geval dat de phishing -kit het MX -record niet kan herkennen, is deze standaard een RoundCube -inlogpagina.
“Deze aanvalsmethode is voordelig voor slechte acteurs omdat het hen in staat stelt om gerichte aanvallen op slachtoffers uit te voeren door webinhoud te tonen die sterk gerelateerd is aan hun e -mailserviceprovider,” zei Infeblox. “
“De algehele phishing -ervaring voelt natuurlijk aan omdat het ontwerp van de bestemmingspagina consistent is met het bericht van de spam -e -mail. Deze techniek helpt de acteur het slachtoffer te misleiden om hun e -mailgegevens in te dienen via de phishing -webvorm.”
