Les chercheurs en cybersécurité ont mis en lumière une nouvelle plate-forme de phishing en tant que service (PHAAS) qui exploite le système de noms de domaine (DNS) Exchange de courrier (Mx) Records pour servir de fausses pages de connexion qui se font passer pour environ 114 marques.
La société de renseignement DNS InfoBlox suit l’acteur derrière les phaaS, le kit de phishing et l’activité connexe sous le surnom Morphing meerkat.
“L’acteur de menace derrière les campagnes exploite souvent des redirections ouvertes sur l’infrastructure ADTech, compromet les domaines pour la distribution du phishing et distribue des références volées par le biais de plusieurs mécanismes, dont Telegram”, a déclaré la société dans un rapport partagé avec les actualités des pirates.
Un de tel campagne Tirer parti de la boîte à outils Phaas était documenté Par ForcePoint en juillet 2024, où les e-mails de phishing contenaient des liens vers un prétendu document partagé qui, lorsqu’il a cliqué, a dirigé le destinataire vers une fausse page de connexion hébergée sur CloudFlare R2 dans l’objectif final de collecter et d’exfiltration des informations d’identification via Telegram.
Le morphing Meerkat aurait livré des milliers d’e-mails de spam, les messages de phishing utilisant des sites Web WordPress compromis et Vulnérabilités de redirection ouverte Sur les plateformes publicitaires comme DoubleClick appartenant à Google pour contourner les filtres de sécurité.
Il est également capable de traduire dynamiquement le contenu de phishing en plus d’une douzaine de langues différentes, y compris l’anglais, la coréenne, l’espagnol, le russe, l’allemand, le chinois et le japonais, pour cibler les utilisateurs du monde entier.
En plus de compliquer la lisibilité du code via l’obscurcissement et l’inflation, les pages de destination de phishing intègrent des mesures anti-analyse qui interdisent l’utilisation du clic droit de la souris ainsi que des combinaisons de clés de clavier Ctrl + S (enregistrer la page Web en tant que HTML), Ctrl + U (ouvrir le code source de la page Web).
Mais ce qui fait que l’acteur de menace se démarque vraiment, c’est que son utilisation des enregistrements DNS MX obtenus auprès de CloudFlare ou Google pour identifier le fournisseur de services de messagerie de la victime (par exemple, Gmail, Microsoft Outlook ou Yahoo!) et servent dynamiquement de fausses pages de connexion. Dans le cas où le kit de phishing n’est pas en mesure de reconnaître l’enregistrement MX, il est par défaut une page de connexion Roundcube.
“Cette méthode d’attaque est avantageuse pour les mauvais acteurs car il leur permet de mener des attaques ciblées contre les victimes en affichant un contenu Web fortement lié à leur fournisseur de services de messagerie”, a déclaré Infoblox. “
“L’expérience globale de phishing semble naturelle car la conception de la page de destination est cohérente avec le message de l’e-mail de spam. Cette technique aide l’acteur à inciter la victime à soumettre ses informations d’identification par e-mail via le formulaire Web de phishing.”




