一家名为Morphing Meerkat的网络钓鱼即服务(PhaaS)运营平台近日被安全研究人员发现。该平台利用DNS over HTTPS(DoH)协议逃避检测,并通过DNS邮件交换(MX)记录识别受害者的电子邮件提供商,动态生成超过114个品牌的仿冒登录页面。
大规模网络钓鱼行动
Morphing Meerkat自2020年起活跃,由Infoblox的安全研究人员首次揭示。尽管部分活动曾被记录,但该平台在过去几年中大多未被察觉。
作为一款完整的PhaaS工具包,Morphing Meerkat为技术能力有限的攻击者提供了一站式的网络钓鱼攻击解决方案。它拥有集中化的SMTP基础设施,用于发送垃圾邮件。其中50%的邮件来源于英国的iomart和美国的HostPapa提供的互联网服务。
该平台能够模拟包括Gmail、Outlook、Yahoo、DHL、Maersk和RakBank等在内的114家电子邮件和服务提供商,发送带有类似“需要采取行动:账户停用”等紧急主题的邮件。这些邮件支持多种语言,包括英语、西班牙语、俄语和中文,且能够伪造发件人姓名和地址。
攻击流程
当受害者点击邮件中的恶意链接时,他们会经历一系列开放重定向攻击。这些重定向通常通过广告技术平台(如Google DoubleClick)执行,并涉及受感染的WordPress网站、伪造的域名和免费托管服务。
最终,钓鱼工具包会在受害者的浏览器中加载,同时利用DoH向Google或Cloudflare发送DNS查询以获取受害者电子邮件域名的MX记录。根据查询结果,工具包会动态生成伪造的登录页面,并自动填充受害者的电子邮件地址。
一旦受害者输入凭据,数据会通过AJAX请求和PHP脚本发送到攻击者的外部服务器。此外,攻击者还可能使用Telegram机器人webhook进行实时转发。为了验证凭据的准确性,受害者首次输入密码后会收到一条错误信息提示密码无效,诱导其再次输入。
输入成功后,受害者会被重定向至真实的身份验证页面,以减少怀疑。
使用DoH与DNS MX的隐蔽性
Morphing Meerkat的独特之处在于采用DoH和DNS MX记录,这些高级技术使攻击更具隐蔽性。
DoH通过加密的HTTPS请求执行DNS解析,替代传统的基于UDP的DNS查询,从而绕过DNS监控。MX记录则用于指示哪个服务器负责接收特定域的电子邮件。攻击者通过客户端直接查询Cloudflare或Google获取MX记录信息,从而避免被检测。
利用MX记录信息,钓鱼工具包能够实时生成与受害者邮箱提供商匹配的仿冒页面,提升攻击的成功率。
防御建议
Infoblox建议企业实施更严格的DNS控制,阻止用户直接与DoH服务器通信。此外,还应限制用户访问与企业业务无关的广告技术和文件共享基础设施,以降低攻击风险。
与Morphing Meerkat相关的所有攻击指标(IoC)已公开发布在GitHub存储库中,供安全研究人员进一步分析。
消息来源:Bleeping Computer
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容