• Kit d'hameçonnage Morphing Meerkat : Une plongée en profondeur dans ses menaces et ses tactiques

Kit d'hameçonnage Morphing Meerkat : Une plongée en profondeur dans ses menaces et ses tactiques

Blog

Découvrez comment le kit de phishing Morphing Meerkat alimente les attaques de phishing-as-a-service (PhaaS), échappe à la détection, et comment vous pouvez le détecter et l'arrêter.

par Milena Baghdasaryan

Dernière mise à jour :
Temps de lecture : 5 min
Kit d'hameçonnage Morphing Meerkat : Une plongée en profondeur dans ses menaces et ses tactiques
Table des matières-

Avec plus de 100 marques usurpées et des milliers de courriels de phishing envoyés, la plateforme PhaaS de Morphing Meerkat représente un changement radical dans l'efficacité des cybercriminels, en exploitant les enregistrements MX du DNS pour contourner les défenses traditionnelles.

Infoblox rapporte que l'acteur Morphing Meerkat a envoyé des milliers de courriels d'hameçonnage, ce qui constitue une menace sérieuse pour les entreprises internationales. L'ampleur et la sophistication de ces attaques exigent une attention immédiate.

Points clés à retenir

  • Le kit de phishing "Morphing Meerkat" a récemment usurpé l'identité de plus de 100 marques.
  • Les auteurs de la menace ont envoyé plus d'un millier de courriers électroniques non sollicités, ce qui témoigne de l'ampleur mondiale de l'attaque.
  • Il est susceptible d'entraîner des vols de données, des interruptions d'activité et des atteintes à la réputation. 
  • Vous pouvez vous protéger contre cette menace en procédant à une authentification correcte du courrier électronique.

Qu'est-ce que le kit d'hameçonnage Morphing Meerkat ?

Un kit d'hameçonnage Morphing Meerkat désigne l'ensemble des outils qui permettent aux auteurs de menaces de créer des sites web d'apparence légitime, mais en réalité frauduleux. Ils visent à inciter les utilisateurs à divulguer des informations sensibles pour voler des données ou de l'argent. Les kits d'hameçonnage comprennent du code HTML et PHP que même les pirates débutants peuvent créer et utiliser pour mener des attaques d'hameçonnage. Leur fonctionnement ne nécessite que des compétences techniques minimales. 

Ces kits comprennent des modèles de courrier électronique préconçus et des pages de connexion illégitimes et trompeuses. D'autres éléments contraignent les utilisateurs à communiquer leurs mots de passe ou leurs données de paiement. 

Le kit de phishing "Morphing Meerkat" utilise des enregistrements MX pour usurper des marques et accéder à des informations d'identification. Comme le note Infoblox Threat Intelcette méthode d'attaque est avantageuse pour les mauvais acteurs. En effet, elle affiche du contenu web lié à leur fournisseur de services de messagerie. Cela permet des attaques ciblées en alignant les pages de phishing sur les fournisseurs de messagerie des victimes.

Le processus d'hameçonnage semble légitime parce que la conception de la page de renvoi est cohérente avec le message de l'e-mail de spam. Cette technique permet à l'acteur de tromper la victime et de l'amener à soumettre ses données d'identification via le formulaire web de phishing".

Comment fonctionnent les attaques d'hameçonnage par suricate morphing

Dans cette attaque, les acteurs de la menace personnalisent le contenu à l'aide de configurations de courrier électronique préexistantes. Les pirates volent les informations d'identification et parviennent ainsi à infiltrer les réseaux d'entreprise. Cela leur permet d'accéder à des données commerciales sensibles (informations sur les cartes de crédit, communications secrètes, etc.)

Cette trousse à outils exploite les enregistrements DNS MX pour créer de fausses pages de connexion. Il les utilise ensuite pour accéder aux informations d'identification et les voler. Plus précisément, il faut d'abord que la victime cible clique sur le lien d'hameçonnage dangereux. Le kit d'hameçonnage interroge ensuite l'enregistrement MX du domaine de messagerie de la victime. Cette étape lui permet de déterminer le fournisseur de services de messagerie. Le kit affiche une fausse page de connexion imitant le fournisseur de services de messagerie de la victime. 

Toutes les attaques de Morphing Meerkat ont pour cible les identifiants de connexion des utilisateurs de messagerie électronique. C'était en fait le point d'intérêt initial, et bien que l'attaque ait évolué, la cible est restée la même. 

Les messages de phishing utilisent souvent des sites web WordPress compromis. Ils exploitent également les vulnérabilités des redirections ouvertes sur différentes plateformes publicitaires, notamment DoubleClick, propriété de Google. Cela leur permet de contourner facilement et efficacement les filtres de sécurité.

Impact sur les organisations

Voici quelques exemples de l'impact que cette boîte à outils peut avoir sur les organisations.

 

Évolutions de l'attaque constante

Ce kit de phishing évolue constamment, devenant de plus en plus dangereux pour les organisations. Les premières campagnes de Morphing Meerkat ont été détectées en 2020. À l'époque, cependant, l'attaque n'était pas perçue comme si dangereuse. La version initiale ne pouvait servir que des modèles web de phishing déguisés en Gmail, Outlook, AOL, Office 365 et Yahoo. Aucune option de traduction n'était disponible. Le kit ne pouvait afficher que des modèles d'hameçonnage en anglais. 

Aujourd'hui, cependant, il couvre plus de 114 modèles de marques. Dès juillet 2023, les kits ont pu charger des pages d'hameçonnage en fonction des enregistrements DNS MX consultés. Les acteurs de la menace déploient désormais des pages d'hameçonnage multilingues. Les langues prises en charge sont l'espagnol, le russe, l'anglais, le chinois, le japonais, le coréen, l'allemand, etc.

Difficile à détecter et à combattre

Par rapport à de nombreuses autres menaces traditionnelles, cette trousse à outils exploite de nombreux moyens d'échapper à la sécurité. Par exemple, les acteurs de la menace utilisent souvent des redirections ouvertes sur les serveurs publicitaires. Ils peuvent également obscurcir le code pour entraver l'analyse. En outre, outre l'obscurcissement, les pages d'atterrissage de phishing utilisent également des mesures anti-analyse. 

Ces aides interdisent l'utilisation du clic droit de la souris ou des raccourcis clavier Ctrl + S et Ctrl + U - entre autres - pour entraver l'analyse. Ctrl+S enregistre la page, tandis que Ctrl+U affiche son code source. Toutes ces étapes permettent d'entraver l'analyse et de réussir l'attaque. 

La porte ouverte au vol de données

Lorsque les identifiants de messagerie sont volés, les pirates peuvent les utiliser pour s'infiltrer dans les réseaux d'entreprise. Cela leur permet d'accéder à des données auxquelles ils n'auraient pas eu accès autrement. Qu'il s'agisse d'informations personnelles, de secrets d'affaires ou de données financières, les effets du vol de données peuvent être néfastes. 

Atteinte potentielle à la réputation

Une fois que les auteurs de la menace ont obtenu les informations d'identification, ils peuvent les distribuer par le biais de canaux tels que Telegram. Ainsi, l'attaque peut conduire non seulement à un vol de données, mais aussi à une distribution illégale de données sensibles sur différents canaux. Cela peut conduire à une atteinte significative à la réputation et à une perte de confiance de la part des clients. 

Perturbations opérationnelles

Cette boîte à outils peut cibler des organisations entières en même temps. Cela signifie qu'il peut perturber les flux de travail non pas au niveau d'une seule entreprise, mais de dizaines. Outre les perturbations opérationnelles, cela peut également entraîner d'importantes pertes financières à l'échelle mondiale. 

Stratégies de détection et d'atténuation de l'hameçonnage par le suricate morphing 

Les auteurs de cette attaque de phishing ont mis au point un mécanisme intelligent pour ne pas se faire prendre. En cas d'échec des tentatives de connexion, les kits redirigent la victime vers la page de connexion légitime de son fournisseur de services de messagerie. Bien qu'il soit assez difficile de détecter et d'atténuer ce type d'attaque, vous pouvez néanmoins prendre certaines mesures. 

1. Protocoles d'authentification du courrier électronique

Authentification du courrier électronique et utilisation de SPF, DKIM et DMARC . Ils vous aideront à authentifier vos courriels et à réduire la probabilité de réussite des tentatives d'usurpation. DMARC, DKIM et SPF fonctionnent ensemble pour garantir que seuls les expéditeurs légitimes et autorisés peuvent envoyer des courriels au nom de votre domaine. Cela rend l'usurpation d'identité beaucoup plus difficile pour les pirates, quelle que soit leur expertise technique.

2. Détection des menaces par l'IA

Vous pouvez également utiliser des solutions alimentées par l'IA pour détecter les tentatives de phishing bien avant qu'elles n'aboutissent à un vol de données. Ces outils peuvent détecter et examiner des modèles pour vous fournir les informations nécessaires sur votre activité de messagerie.

L'intelligence artificielle de PowerDMARC en matière de menaces DMARC pilotée par l'IA fournit des informations en temps réel sur les tentatives d'usurpation d'identité et de phishing. Elle vous permet de savoir quelle adresse IP est à l'origine de la tentative d'usurpation.

3. Filtrage et surveillance DNS

Essayez de tirer parti du filtrage DNS pour bloquer la communication avec les domaines suspects et les fournisseurs de DoH. Il s'agit notamment de Cloudflare et de Google. Ces derniers sont souvent utilisés par Morphing Meerkat pour générer des pages de phishing basées sur les enregistrements MX. Outre le filtrage DNS, vous devriez également vérifier votre trafic DNS pour détecter les requêtes anormales, inhabituelles ou suspectes.

4. Authentification multifactorielle (MFA)

Le fait d'exiger une MFA pour tous les comptes critiques peut vous aider à ajouter une couche de sécurité supplémentaire. Les attaquants ne peuvent pas accéder à votre compte sans le deuxième facteur d'authentification. Et ce, même s'ils ont accès à vos informations d'identification.

En conclusion

Le kit d'hameçonnage Morphing Meerkat présente de sérieux risques pour les entreprises du monde entier. Ses techniques et stratégies évoluent, s'améliorent et deviennent plus intelligentes. Il en va de même pour leurs conséquences potentielles. En conséquence, votre entreprise peut subir d'importantes pertes de données et des perturbations opérationnelles. Elle peut également subir des dommages financiers et une mauvaise réputation. 

Mais la bonne nouvelle, c'est que vous pouvez les détecter et les prévenir. Le MFA, le filtrage DNS et la détection des menaces par l'IA peuvent tous vous aider à vous préparer à la bataille numérique. Les protocoles d'authentification des courriels peuvent également protéger vos communications par courriel et renforcer votre sécurité. 

Pour garder une longueur d'avance sur les menaces en constante évolution comme Morphing Meerkat, planifiez un audit de sécurité avec PowerDMARC dès aujourd'hui !

CTA

Derniers messages de Milena Baghdasaryan (voir tous)
Dernière mise à jour :
Comment configurer SPF, DKIM et DMARC pour Customer.io ?SPF,-DKIM,-and-DMARC-for-Customer.ioComment prévenir les logiciels espions ?