Siber güvenlik araştırmacıları, alan adı sisteminden yararlanan yeni bir Hizmet Olarak Kimlik Yardımı (PHAAS) platformuna ışık tuttular (DNS) Posta Değişimi (Mx) yaklaşık 114 markayı taklit eden sahte oturum açma sayfaları sunmak için kayıtlar.
DNS istihbarat firması Infoblox, Phaas’ın, kimlik avı kitinin ve takma adın altındaki aktivitenin arkasındaki aktörü izliyor Meerkat Morphing.
Şirket, “Kampanyaların arkasındaki tehdit oyuncusu genellikle ADTECH altyapısında açık yönlendirmelerden yararlanıyor, kimlik avı dağıtım için alanları tehlikeye atıyor ve çalınan kimlik bilgilerini telgraf da dahil olmak üzere çeşitli mekanizmalarla dağıtıyor.” Dedi. rapor Hacker News ile paylaşıldı.
Bir kampanya Phaas araç setinden yararlanmak belgelenmiş Kimlik avı e -postalarının, tıklandığında, alıcıyı telgrafla kimlik bilgilerini toplamak ve söndürme hedefi ile Cloudflare R2’de barındırılan sahte bir giriş sayfasına yönlendiren, söz konusu paylaşılan bir belgeye bağlantılar içerdiği ForcePoint tarafından.
Morphing Meerkat’ın binlerce spam e -postası verdiği tahmin ediliyor ve tehlikeye atılan WordPress web siteleri ve Güvenlik Açıklarını Açın Güvenlik filtrelerini atlamak için Google’ın sahip olduğu DoubleClick gibi reklam platformlarında.
Ayrıca, dünyanın dört bir yanındaki kullanıcıları hedeflemek için İngilizce, Korece, İspanyolca, Rusça, Almanca, Çince ve Japonca dahil olmak üzere bir düzineden fazla farklı dile dinamik olarak kimlik avı metnini çevirebilir.
Gizleme ve enflasyon yoluyla kod okunabilirliğini karmaşıklaştırmanın yanı sıra, kimlik avı açılış sayfaları, fare sağ tıklamasının ve klavye hotkey kombinasyonlarının kullanımını yasaklayan anti-analiz önlemlerini içerir Ctrl + S (web sayfasını HTML olarak kaydedin), Ctrl + U (web sayfası kaynak kodunu açın).
Ancak tehdit oyuncusunu gerçekten öne çıkaran şey, kurbanın e -posta servis sağlayıcısını (örn. Gmail, Microsoft Outlook veya Yahoo!) ve dinamik olarak sahte giriş sayfalarına hizmet etmek için Cloudflare veya Google’dan elde edilen DNS MX kayıtlarını kullanmasıdır. Kimlik avı kitinin MX kaydını tanıyamaması durumunda, bir Roundcube Oturum Açma sayfasına varsayılan olarak.
Infoblox, “Bu saldırı yöntemi kötü aktörler için avantajlıdır, çünkü e -posta servis sağlayıcısıyla güçlü bir şekilde ilgili web içeriği göstererek kurbanlara yönelik hedefli saldırıları gerçekleştirmelerini sağlar.” Dedi. “
“Genel kimlik avı deneyimi doğal hissediyor çünkü açılış sayfasının tasarımı SPAM e -postasının mesajı ile tutarlı. Bu teknik, aktörün kurbanın e -posta kimlik bilgilerini kimlik avı web formu aracılığıyla göndermesine yardımcı oluyor.”
