Kit de phishing Morphing Meerkat: Una inmersión profunda en sus amenazas y tácticas
por
Tiempo de lectura: 5 min
Con más de 100 marcas suplantadas y miles de correos electrónicos de phishing enviados, la plataforma Morphing Meerkat PhaaS representa un cambio sísmico en la eficiencia de los ciberdelincuentes, aprovechando los registros MX de DNS para eludir las defensas tradicionales.
Infoblox informa que el actor Morphing Meerkat ha enviado miles de correos electrónicos de phishing, lo que supone una grave amenaza para las empresas de todo el mundo. La escala y sofisticación de estos ataques exigen una atención inmediata.
Puntos clave
- El kit de phishing "Morphing Meerkat" ha suplantado recientemente a más de 100 marcas.
- Los autores de la amenaza enviaron más de mil mensajes de spam, lo que indica la escala mundial del ataque.
- Es probable que provoque robos de datos, interrupciones de la actividad empresarial y daños a la reputación.
- Puede protegerse contra esta amenaza con una autenticación adecuada del correo electrónico.
¿Qué es el kit de phishing Morphing Meerkat?
Un kit de phishing Morphing Meerkat se refiere al conjunto de herramientas que permiten a los actores de amenazas crear sitios web que parecen legítimos, pero que en realidad son fraudulentos. Su objetivo es engañar a los usuarios para que revelen información sensible con el fin de robar datos o dinero. Los kits de phishing incluyen código HTML y PHP que incluso los hackers principiantes pueden crear y utilizar para realizar ataques de phishing. Requieren unos conocimientos técnicos mínimos para funcionar.
Estos kits incluyen plantillas de correo electrónico prediseñadas y páginas de inicio de sesión ilegítimas y engañosas. Otros elementos coaccionan a los usuarios para que faciliten contraseñas o datos de pago.
El kit de phishing "Morphing Meerkat" utiliza registros MX para suplantar marcas y acceder a credenciales. Como señala Infoblox Threat Intel señala"este método de ataque es ventajoso para los malos actores". Esto se debe a que muestra contenido web relacionado con su proveedor de servicios de correo electrónico. Esto permite realizar ataques dirigidos alineando las páginas de phishing con los proveedores de correo electrónico de las víctimas.
El proceso de phishing parece legítimo porque el diseño de la página de destino es coherente con el mensaje del correo electrónico de spam. Esta técnica ayuda al actor a engañar a la víctima para que envíe sus credenciales de correo electrónico a través del formulario web de phishing."
Cómo funcionan los ataques de phishing Morphing Meerkat
En este ataque, los actores de la amenaza personalizan el contenido con la ayuda de configuraciones de correo electrónico preexistentes. Los hackers roban las credenciales y así consiguen infiltrarse en las redes corporativas. Esto les proporciona acceso a datos empresariales sensibles (por ejemplo, información sobre tarjetas de crédito, comunicaciones secretas, etc.).
Este kit de herramientas aprovecha los registros DNS MX para crear páginas de inicio de sesión falsas. A continuación, las utiliza para acceder a las credenciales y robarlas. Más concretamente, primero necesita que la víctima haga clic en el enlace de phishing no seguro. A continuación, el kit de phishing consulta el registro MX del dominio de correo electrónico de la víctima. Este paso les permite determinar el proveedor de servicios de correo electrónico. El kit muestra una página de inicio de sesión falsificada que imita al proveedor de correo electrónico de la víctima.
Todos los ataques de Morphing Meerkat tienen como objetivo las credenciales de inicio de sesión de los usuarios de correo electrónico. Este era, de hecho, el punto de interés inicial, y aunque el ataque ha evolucionado, el objetivo sigue siendo el mismo.
Los mensajes de phishing suelen utilizar sitios web de WordPress comprometidos. También aprovechan las vulnerabilidades de redirección abiertas en diferentes plataformas publicitarias, incluida DoubleClick, propiedad de Google. Esto les ayuda a eludir los filtros de seguridad con facilidad y eficacia.
Impacto en las organizaciones
He aquí algunas formas en que este conjunto de herramientas puede repercutir en las organizaciones.
Evoluciones de ataque constantes
Este kit de phishing evoluciona constantemente, volviéndose más peligroso para las organizaciones. Las primeras campañas de Morphing Meerkat detectadas se identificaron en 2020. Por aquel entonces, sin embargo, el ataque no se percibía como tan peligroso. La versión inicial solo podía servir plantillas web de phishing disfrazadas de Gmail, Outlook, AOL, Office 365 y Yahoo. No había opción de traducción. El kit solo podía mostrar plantillas de phishing en inglés.
Hoy, sin embargo, abarca más de 114 diseños de marcas. Ya en julio de 2023, los kits eran capaces de cargar páginas de phishing según los registros DNS MX a los que se había accedido. Los actores de amenazas ahora despliegan páginas de phishing multilingües. Los idiomas admitidos incluyen español, ruso, inglés, chino, japonés, coreano, alemán, etc.
Difícil de detectar y atajar
En comparación con muchas otras amenazas tradicionales, este kit de herramientas aprovecha muchas características de evasión de seguridad. Por ejemplo, sus autores suelen utilizar redireccionamientos abiertos en servidores de tecnología publicitaria. También pueden ofuscar el código para dificultar el análisis. Por otra parte, además de la ofuscación, las páginas de destino de phishing también hacen uso de medidas antianálisis.
Estas ayudas prohíben el uso del botón derecho del ratón o de Ctrl + S y Ctrl + U -entre otros atajos de teclado- para dificultar el análisis. Ctrl+S guarda la página, mientras que Ctrl+U muestra su código fuente. Todos estos pasos ayudan a dificultar el análisis y a tener éxito en el ataque.
Puerta al robo de datos
Cuando se roban las credenciales de correo electrónico, los hackers pueden utilizarlas para infiltrarse en las redes corporativas. Esto les da una puerta de entrada a datos a los que de otro modo no tendrían acceso. Ya se trate de información personal, secretos comerciales o detalles financieros, los efectos del robo de datos pueden ser perjudiciales.
Daños potenciales a la reputación
Una vez que los actores de la amenaza tienen las credenciales, pueden distribuirlas a través de canales como Telegram. Así, el ataque podría conducir no solo al robo de datos, sino también a una distribución ilegal de datos sensibles a través de varios canales. Esto puede provocar un daño significativo a la reputación y la pérdida de confianza de los clientes.
Interrupciones operativas
Este conjunto de herramientas puede atacar a organizaciones enteras al mismo tiempo. Esto significa que puede interrumpir los flujos de trabajo no sólo de una empresa, sino de docenas. Además de las interrupciones operativas, esto también puede acarrear importantes pérdidas financieras globales.
Estrategias de detección y mitigación del phishing Morphing Meerkat
Los actores de la amenaza detrás de este ataque de phishing tienen un mecanismo inteligente para no ser descubiertos. En caso de intentos fallidos de inicio de sesión, los kits redirigen a la víctima objetivo a la página de inicio de sesión legítima real de su proveedor de servicios de correo electrónico. Aunque es bastante difícil detectar y mitigar este tipo de ataque, hay algunas medidas que se pueden tomar.
1. Protocolos de autenticación de correo electrónico
Legerage autenticación de correo electrónico y hacer uso de SPF, DKIM y DMARC y DMARC. Le ayudarán a autenticar sus correos electrónicos y a reducir la probabilidad de éxito de los intentos de suplantación de identidad. DMARC, DKIM y SPF trabajan juntos para garantizar que sólo los remitentes autorizados y legítimos puedan enviar correos electrónicos en nombre de tu dominio. Esto hace que la suplantación de identidad sea mucho más difícil para los hackers, independientemente de sus conocimientos técnicos.
2. Detección de amenazas basada en IA
También puede hacer uso de soluciones basadas en IA para detectar intentos de phishing mucho antes de que conduzcan al robo de datos. Estas herramientas pueden detectar y examinar patrones para proporcionarle la información necesaria sobre su actividad de correo electrónico.
Inteligencia sobre amenazas inteligencia sobre amenazas DMARC proporciona información en tiempo real sobre los intentos de suplantación de identidad y phishing. Le permite estar alerta y saber qué dirección IP fue la responsable del intento de suplantación.
3. Filtrado y supervisión de DNS
Intenta aprovechar el filtrado DNS para bloquear la comunicación con dominios sospechosos y proveedores de DoH. Estos incluyen Cloudflare y Google. Morphing Meerkat los utiliza a menudo para generar páginas de phishing basadas en registros MX. Además del filtrado DNS, también deberías comprobar el tráfico DNS en busca de consultas anormales, inusuales o sospechosas.
4. Autenticación multifactor (AMF)
Exigir MFA en todas las cuentas críticas puede ayudarle a añadir una capa más de seguridad. Los atacantes no pueden acceder a su cuenta sin el segundo factor de autenticación. Esto es cierto incluso cuando tienen acceso a tus credenciales.
Palabras finales
El kit de phishing Morphing Meerkat presenta graves riesgos para las empresas de todo el mundo. Sus técnicas y estrategias evolucionan y son cada vez mejores y más inteligentes. También lo hacen sus posibles consecuencias. Como resultado, su empresa podría sufrir importantes pérdidas de datos e interrupciones operativas. También podría sufrir daños financieros y una mala reputación.
Sin embargo, la buena noticia es que se pueden detectar y prevenir. La AMF, el filtrado de DNS y la detección de amenazas basada en IA pueden ayudarle a prepararse para la batalla digital. Los protocolos de autenticación de correo electrónico también pueden proteger tus comunicaciones por correo electrónico y mejorar tu seguridad.
Para anticiparse a amenazas en evolución como Morphing Meerkat, programe hoy mismo una auditoría de seguridad con PowerDMARC.
Especialista en contenidos de PowerDMARC
Milena es una hábil escritora y creadora de contenidos con más de 7 años de experiencia en la elaboración de contenidos atractivos sobre TI, ciberseguridad, eventos virtuales y mucho más. Tiene un historial probado de entrega de trabajos de alta calidad para revistas internacionales y se ha graduado en prestigiosas instituciones como la New York University Abu Dhabi, UWC China y el College of Europe.
Últimos mensajes de Milena Baghdasaryan (ver todos)
- DMARC para correos electrónicos no solicitados: ¿Ninguno, en cuarentena o rechazado? (La mejor política para la entregabilidad) - 22 de mayo de 2025
- DKIM en TXT vs. CNAME - Diferencias clave y mejores prácticas - 14 de mayo de 2025
- Dirección del destinatario rechazada: Acceso denegado - Causas y soluciones (SMTP 550 5.7.1) - 9 de mayo de 2025
