Los investigadores de ciberseguridad han arrojado luz sobre una nueva plataforma de phishing como servicio (PHAAS) que aprovecha el sistema de nombres de dominio (DNS) intercambio de correo (Mx) Registros para servir páginas de inicio de sesión falsas que se hacen pasar por 114 marcas.
La firma de inteligencia de DNS Informlox está rastreando al actor detrás de los faas, el kit de phishing y la actividad relacionada bajo el apodo Morphing Meerkat.
“El actor de amenazas detrás de las campañas a menudo explota redireccionamientos abiertos sobre la infraestructura de Adtech, compromete los dominios para la distribución de phishing y distribuye las credenciales robadas a través de varios mecanismos, incluido el telegrama”, dijo la compañía en un informe compartido con las noticias del hacker.
Uno de ellos campaña Aprovechar el kit de herramientas PHAAS fue documentado Por ForcePoint en julio de 2024, donde los correos electrónicos de phishing contenían enlaces a un supuesto documento compartido que, cuando se hizo clic, dirigía al destinatario a una página de inicio de sesión falsa alojada en Cloudflare R2 con el objetivo final de recopilar y exfiltrar las credenciales a través de Telegram.
Se estima que Morphing Meerkat ha entregado miles de correos electrónicos de spam, con los mensajes de phishing utilizando sitios web comprometidos de WordPress y Vulnerabilidades de redirección abierta en plataformas publicitarias como DoubleClick propiedad de Google para evitar los filtros de seguridad.
También es capaz de traducir el texto de contenido de phishing dinámicamente en más de una docena de idiomas diferentes, incluidos inglés, coreano, español, ruso, alemán, chino y japonés, para atacar a los usuarios de todo el mundo.
Además de complicar la legibilidad del código a través de la ofuscación y la inflación, las páginas de destino de phishing incorporan medidas anti-análisis que prohíben el uso del clic derecho del mouse, así como las combinaciones de teclado de teclado Ctrl + S (guarde la página web como HTML), Ctrl + U (abra el código fuente de la página web).
Pero lo que hace que el actor de amenaza se destaque es su uso de registros DNS MX obtenidos de Cloudflare o Google para identificar al proveedor de servicios de correo electrónico de la víctima (por ejemplo, Gmail, Microsoft Outlook o Yahoo!) y atender dinámicamente páginas de inicio de sesión falsas. En el caso de que el kit de phishing no pueda reconocer el registro MX, el valor predeterminado es una página de inicio de sesión de RoundCube.
“Este método de ataque es ventajoso para los malos actores porque les permite llevar a cabo ataques específicos a las víctimas al mostrar contenido web fuertemente relacionado con su proveedor de servicios de correo electrónico”, dijo Infloxox. “
“La experiencia general de phishing se siente natural porque el diseño de la página de destino es consistente con el mensaje del correo electrónico spam. Esta técnica ayuda al actor a engañar a la víctima para que envíe sus credenciales de correo electrónico a través del formulario de phishing”.
About the Author
