Morphing Meerkat Phishing Kit: Ein tiefer Einblick in seine Bedrohungen und Taktiken

Mit über 100 gefälschten Marken und Tausenden von versendeten Phishing-E-Mails stellt die PhaaS-Plattform von Morphing Meerkat einen seismischen Wandel in der Effizienz von Cyberkriminellen dar, die DNS-MX-Einträge zur Umgehung herkömmlicher Abwehrmaßnahmen nutzen.

Infoblox berichtet dass der Morphing Meerkat-Akteur Tausende von Phishing-E-Mails verschickt hat, die eine ernsthafte Bedrohung für globale Unternehmen darstellen. Der Umfang und die Raffinesse dieser Angriffe erfordern sofortige Aufmerksamkeit.

Was ist das Morphing Meerkat Phishing Kit?

Ein Morphing-Meerkat-Phishing-Kit besteht aus einer Reihe von Tools, mit denen Bedrohungsakteure Websites erstellen können, die legitim aussehen, in Wirklichkeit aber betrügerisch sind. Sie zielen darauf ab, Benutzer dazu zu bringen, sensible Informationen preiszugeben, um Daten oder Geld zu stehlen. Phishing-Kits enthalten HTML- und PHP-Code, den selbst Anfänger erstellen und für Phishing-Angriffe verwenden können. Sie erfordern nur minimale technische Kenntnisse, um zu funktionieren. 

Diese Kits umfassen vorgefertigte E-Mail-Vorlagen sowie unzulässige und betrügerische Anmeldeseiten. Zusätzliche Elemente zwingen die Nutzer zur Herausgabe von Passwörtern oder Zahlungsdaten. 

Das Phishing-Kit "Morphing Meerkat" nutzt MX-Einträge, um Marken und Zugangsdaten zu fälschen. Wie Infoblox Threat Intel bemerktist diese Angriffsmethode für bösartige Akteure von Vorteil". Der Grund dafür ist, dass Webinhalte angezeigt werden, die mit dem jeweiligen E-Mail-Anbieter in Verbindung stehen. Dies ermöglicht gezielte Angriffe, indem die Phishing-Seiten mit den E-Mail-Anbietern der Opfer abgeglichen werden.

Der Phishing-Vorgang erscheint legitim, da das Design der Zielseite mit der Botschaft der Spam-E-Mail übereinstimmt. Mit dieser Technik kann der Täter das Opfer dazu verleiten, seine E-Mail-Anmeldedaten über das Phishing-Webformular zu übermitteln."

Wie Morphing Meerkat Phishing-Angriffe funktionieren

Bei diesem Angriff passen die Bedrohungsakteure den Inhalt mit Hilfe von bereits vorhandenen E-Mail-Konfigurationen an. Die Hacker stehlen die Anmeldedaten und schaffen es so, in Unternehmensnetzwerke einzudringen. Dadurch erhalten sie Zugang zu sensiblen Geschäftsdaten (z. B. Kreditkarteninformationen, geheime Mitteilungen usw.).

Dieses Toolkit nutzt DNS MX-Einträge, um gefälschte Anmeldeseiten zu erstellen. Anschließend nutzt es diese, um auf Anmeldedaten zuzugreifen und sie zu stehlen. Genauer gesagt, muss das Opfer zunächst auf den unsicheren Phishing-Link klicken. Das Phishing-Kit fragt dann den MX-Eintrag der E-Mail-Domäne des Opfers ab. Dieser Schritt ermöglicht es ihm, den E-Mail-Dienstanbieter zu ermitteln. Das Kit zeigt eine gefälschte Anmeldeseite an, die den E-Mail-Anbieter des Opfers imitiert. 

Bei jedem Morphing Meerkat-Angriff sind die Anmeldedaten von E-Mail-Benutzern das Ziel. Dies war in der Tat der ursprüngliche Punkt des Interesses, und während sich der Angriff weiterentwickelt hat, ist das Ziel dasselbe geblieben. 

Die Phishing-Nachrichten nutzen häufig kompromittierte WordPress-Websites. Sie nutzen auch offene Umleitungsschwachstellen auf verschiedenen Werbeplattformen, darunter auch DoubleClick, das Google gehört. So können sie Sicherheitsfilter einfach und effektiv umgehen.

Auswirkungen auf Organisationen

Hier sind einige Möglichkeiten, wie sich dieses Toolkit auf Organisationen auswirken kann.

Konstante Angriffsentwicklungen

Dieses Phishing-Kit entwickelt sich ständig weiter und wird für Unternehmen immer gefährlicher. Die ersten entdeckten Morphing Meerkat-Kampagnen wurden im Jahr 2020 identifiziert. Damals wurde der Angriff jedoch noch nicht als so gefährlich eingestuft. Die erste Version konnte nur Phishing-Webvorlagen ausliefern, die als Gmail, Outlook, AOL, Office 365 und Yahoo getarnt waren. Es war keine Übersetzungsoption verfügbar. Das Kit war nur in der Lage, englische Phishing-Vorlagen anzuzeigen. 

Heute umfasst es jedoch über 114 Markendesigns. Bereits im Juli 2023 waren die Kits in der Lage, Phishing-Seiten entsprechend den zugegriffenen DNS-MX-Einträgen zu laden. Die Bedrohungsakteure setzen nun mehrsprachige Phishing-Seiten ein. Zu den unterstützten Sprachen gehören Spanisch, Russisch, Englisch, Chinesisch, Japanisch, Koreanisch, Deutsch usw.

Schwierig zu erkennen und zu bekämpfen

Im Vergleich zu vielen anderen traditionellen Bedrohungen nutzt dieses Toolkit viele Sicherheitsumgehungsfunktionen. So nutzen die Bedrohungsakteure beispielsweise häufig offene Weiterleitungen auf Adtech-Servern. Außerdem können sie den Code verschleiern, um eine Analyse zu verhindern. Darüber hinaus nutzen die Phishing-Landingpages neben der Verschleierung auch Anti-Analyse-Maßnahmen. 

Diese helfen dabei, die Verwendung der rechten Maustaste oder von Strg + S und Strg + U - neben anderen Tastenkombinationen - zu verhindern, die die Analyse behindern. Mit Strg+S wird die Seite gespeichert, während mit Strg+U der Quellcode angezeigt wird. All diese Schritte tragen dazu bei, die Analyse zu erschweren und den Angriff erfolgreich durchzuführen. 

Einfallstor für Datendiebstahl

Wenn E-Mail-Anmeldedaten gestohlen werden, können die Hacker diese verwenden, um in Unternehmensnetzwerke einzudringen. Dadurch erhalten sie einen Zugang zu Daten, auf die sie sonst keinen Zugriff hätten. Ganz gleich, ob es sich um persönliche Informationen, Geschäftsgeheimnisse oder finanzielle Details handelt, die Auswirkungen des Datendiebstahls können nachteilig sein. 

Potenzieller Schaden für den Ruf

Sobald die Bedrohungsakteure die Anmeldeinformationen haben, können sie diese über Kanäle wie Telegram verbreiten. So kann der Angriff nicht nur zu Datendiebstahl, sondern auch zu einer illegalen Verbreitung sensibler Daten über verschiedene Kanäle führen. Dies kann zu einer erheblichen Schädigung des Rufs und zum Verlust des Kundenvertrauens führen. 

Betriebliche Unterbrechungen

Dieses Toolkit kann ganze Organisationen gleichzeitig angreifen. Das bedeutet, dass es die Arbeitsabläufe nicht nur eines einzelnen Unternehmens, sondern von Dutzenden von Unternehmen stören kann. Neben betrieblichen Unterbrechungen kann dies auch zu erheblichen globalen finanziellen Verlusten führen. 

Morphing Meerkat Phishing-Erkennung und Strategien zur Eindämmung 

Die Bedrohungsakteure, die hinter diesem Phishing-Angriff stehen, haben einen cleveren Mechanismus, um nicht erwischt zu werden. Bei fehlgeschlagenen Anmeldeversuchen leiten die Kits das Zielopfer auf die tatsächliche legitime Anmeldeseite ihres E-Mail-Anbieters um. Obwohl es ziemlich schwierig ist, diese Art von Angriff zu erkennen und zu entschärfen, können Sie dennoch einige Maßnahmen ergreifen. 

1. E-Mail-Authentifizierungsprotokolle

Legerage E-Mail-Authentifizierung und Verwendung von SPF, DKIM und DMARC Protokolle. Sie helfen Ihnen, Ihre E-Mails zu authentifizieren und die Wahrscheinlichkeit erfolgreicher Spoofing-Versuche zu verringern. DMARC, DKIM und SPF arbeiten zusammen, um sicherzustellen, dass nur autorisierte, legitime Absender E-Mails im Namen Ihrer Domäne versenden können. Dadurch wird es für Hacker sehr viel schwieriger, sich auszugeben, unabhängig von ihren technischen Kenntnissen.

2. KI-gestützte Erkennung von Bedrohungen

Sie können auch auf KI-gestützte Lösungen zurückgreifen, um Phishing-Versuche zu erkennen, bevor sie zu Datendiebstahl führen. Diese Tools können Muster erkennen und untersuchen, um Ihnen die notwendigen Einblicke in Ihre E-Mail-Aktivitäten zu geben.

PowerDMARCs KI-gesteuerte DMARC-Bedrohungsanalyse bietet Echtzeit-Einblicke in Spoofing- und Phishing-Versuche. Sie können erkennen, welche IP-Adresse für den Spoofing-Versuch verantwortlich war.

3. DNS-Filterung und -Überwachung

Versuchen Sie, die DNS-Filterung zu nutzen, um die Kommunikation mit verdächtigen Domänen und DoH-Anbietern zu blockieren. Dazu gehören Cloudflare und Google. Diese werden häufig von Morphing Meerkat verwendet, um Phishing-Seiten auf der Grundlage von MX-Einträgen zu generieren. Neben der DNS-Filterung sollten Sie auch Ihren DNS-Verkehr auf abnormale, ungewöhnliche oder verdächtige Abfragen überprüfen.

4. Multi-Faktor-Authentifizierung (MFA)

Die Forderung nach MFA für alle wichtigen Konten kann Ihnen helfen, eine weitere Sicherheitsebene hinzuzufügen. Angreifer können ohne den zweiten Authentifizierungsfaktor nicht auf Ihr Konto zugreifen. Das gilt selbst dann, wenn sie Zugang zu Ihren Anmeldedaten haben.

Abschließende Worte

Das Phishing-Kit "Morphing Meerkat" stellt für Unternehmen weltweit ein ernstes Risiko dar. Seine Techniken und Strategien entwickeln sich weiter und werden immer besser und raffinierter. Das gilt auch für die möglichen Folgen. Infolgedessen kann Ihr Unternehmen erhebliche Datenverluste und Betriebsunterbrechungen erleiden. Es könnte auch finanzielle Schäden und einen schlechten Ruf erleiden. 

Die gute Nachricht ist jedoch, dass Sie sie erkennen und verhindern können. MFA, DNS-Filterung und KI-gestützte Bedrohungserkennung können Ihnen helfen, sich auf die digitale Schlacht vorzubereiten. E-Mail-Authentifizierungsprotokolle können auch Ihre E-Mail-Kommunikation schützen und Ihre Sicherheit verbessern. 

Um neuen Bedrohungen wie Morphing Meerkat einen Schritt voraus zu sein, planen Sie noch heute ein Sicherheitsaudit mit PowerDMARC!

• Über
• Neueste Beiträge

Milena Baghdasaryan

Inhaltsspezialist bei PowerDMARC

Milena ist eine erfahrene Autorin und Inhaltserstellerin mit mehr als 7 Jahren Erfahrung in der Erstellung ansprechender Inhalte über IT, Cybersicherheit, virtuelle Veranstaltungen und mehr. Sie hat eine nachgewiesene Erfolgsbilanz bei der Erstellung hochwertiger Arbeiten für internationale Magazine und ist Absolventin renommierter Institutionen wie der New York University Abu Dhabi, UWC China und dem College of Europe.

Neueste Beiträge von Milena Baghdasaryan (alle anzeigen)

• Sendmarc-Testbericht: Funktionen, Nutzererfahrungen, Vor- und Nachteile (2026) – 22. April 2026
• FIPS-Konformität: So sichern Sie Ihre Infrastruktur vor Ablauf der Frist im Jahr 2026 – 20. April 2026
• Sicherheit im Vertrieb: 5 Tipps, damit Ihr Vertriebsteam nicht wie Phisher wirkt – 14. April 2026