Morphing Meerkat Phishing Kit: Een diep duik in de bedreigingen en tactieken
door
Laatst bijgewerkt: 5 leestijd: 5 minuten
Met meer dan 100 gespoofde merken en duizenden verstuurde phishing-e-mails vertegenwoordigt het Morphing Meerkat PhaaS-platform een enorme verschuiving in de efficiëntie van cybercriminelen door gebruik te maken van DNS MX-records om de traditionele verdediging te omzeilen.
Infoblox meldt dat de Morphing Meerkat-acteur duizenden phishing-e-mails heeft verstuurd, die een ernstige bedreiging vormen voor wereldwijde bedrijven. De schaal en geavanceerdheid van deze aanvallen vereisen onmiddellijke aandacht.
Belangrijkste Conclusies
- De 'Morphing Meerkat' phishingkit heeft onlangs meer dan 100 merken gespooft.
- De bedreigers verstuurden meer dan duizend spam e-mails, wat de wereldwijde schaal van de aanval aangeeft.
- Het zal waarschijnlijk leiden tot gegevensdiefstal, bedrijfsonderbrekingen en reputatieschade.
- Je kunt jezelf tegen deze bedreiging beschermen met de juiste e-mailverificatie.
Wat is de Morphing Meerkat Phishing Kit?
Een Morphing Meerkat phishing kit verwijst naar de verzameling tools waarmee bedreigingsactoren websites kunnen maken die er legitiem uitzien, maar in werkelijkheid frauduleus zijn. Het doel is gebruikers te verleiden gevoelige informatie vrij te geven om gegevens of geld te stelen. Phishing-kits bevatten HTML- en PHP-code die zelfs beginnende hackers kunnen maken en gebruiken om phishing-aanvallen uit te voeren. Ze vereisen minimale technische vaardigheden om te werken.
Deze kits bestaan uit vooraf ontworpen e-mailsjablonen en onwettige en bedrieglijke aanmeldingspagina's. Extra elementen dwingen gebruikers om wachtwoorden of betalingsgegevens op te geven.
De 'Morphing Meerkat'-phishingkit maakt gebruik van MX-records om merken en toegangsgegevens te vervalsen. Zoals Infoblox Threat Intel opmerkt"Deze aanvalsmethode is voordelig voor slechte actoren." Dit komt omdat het webinhoud weergeeft die gerelateerd is aan hun e-mailserviceprovider. Dit maakt gerichte aanvallen mogelijk door phishingpagina's af te stemmen op de e-mailproviders van slachtoffers.
Het phishingproces lijkt legitiem omdat het ontwerp van de landingspagina overeenkomt met de boodschap van de spammail. Deze techniek helpt de speler om het slachtoffer te verleiden tot het verzenden van zijn e-mailgegevens via het phishing webformulier."
Hoe Meerkat morphing phishing-aanvallen werken
Bij deze aanval passen de bedreigers de inhoud aan met behulp van reeds bestaande e-mailconfiguraties. De hackers stelen de referenties en slagen er zo in te infiltreren in bedrijfsnetwerken. Hierdoor krijgen ze toegang tot gevoelige bedrijfsgegevens (bijv. creditcardgegevens, geheime communicatie, enz.).
Deze toolkit maakt gebruik van DNS MX records om valse aanmeldingspagina's te maken. Deze worden vervolgens gebruikt om toegang te krijgen tot gegevens en deze te stelen. Meer specifiek moet het slachtoffer eerst op de onveilige phishing-link klikken. De phishingkit bevraagt vervolgens het MX-record van het e-maildomein van het slachtoffer. Met deze stap kan de e-mailprovider worden bepaald. De kit serveert een vervalste inlogpagina die de e-mailprovider van het slachtoffer nabootst.
Elke Morphing Meerkat aanval heeft de inloggegevens van e-mailgebruikers als doelwit. Dit was in feite het oorspronkelijke doelwit en hoewel de aanval is geëvolueerd, is het doelwit hetzelfde gebleven.
De phishingberichten maken vaak gebruik van gecompromitteerde WordPress-websites. Ze maken ook gebruik van open redirect kwetsbaarheden op verschillende advertentieplatforms, waaronder DoubleClick, dat eigendom is van Google. Hierdoor kunnen ze gemakkelijk en effectief beveiligingsfilters omzeilen.
Impact op organisaties
Hier volgen enkele manieren waarop deze toolkit van invloed kan zijn op organisaties.
Constante aanval evoluties
Deze phishingkit evolueert voortdurend en wordt steeds gevaarlijker voor organisaties. De eerste gedetecteerde Morphing Meerkat-campagnes werden geïdentificeerd in 2020. Toen werd de aanval echter nog niet als zo gevaarlijk gezien. De eerste versie kon alleen phishing websjablonen weergeven die vermomd waren als Gmail, Outlook, AOL, Office 365 en Yahoo. Er was geen vertaaloptie beschikbaar. De kit kon alleen Engelse phishingsjablonen weergeven.
Vandaag de dag gaat het echter om meer dan 114 merkontwerpen. Al in juli 2023 konden de kits phishingpagina's laden volgens de geraadpleegde DNS MX-records. Bedreigingsactoren gebruiken nu meertalige phishingpagina's. De ondersteunde talen zijn onder andere Spaans, Russisch, Engels, Chinees, Japans, Koreaans en Duits.
Moeilijk op te sporen en aan te pakken
In vergelijking met veel andere traditionele bedreigingen maakt deze toolkit gebruik van veel functies om de beveiliging te omzeilen. De bedreigers maken bijvoorbeeld vaak gebruik van open redirects op adtech-servers. Ze kunnen ook code verdoezelen om analyse te bemoeilijken. Naast verduistering maken de phishing-landingspagina's ook gebruik van maatregelen om analyse te voorkomen.
Deze helpen het gebruik van de rechtermuisknop of Ctrl + S en Ctrl + U - naast andere sneltoetsen - te verbieden om de analyse te belemmeren. Ctrl+S slaat de pagina op, terwijl Ctrl+U de broncode weergeeft. Al deze stappen helpen om de analyse te verhinderen en de aanval te laten slagen.
Toegangspoort tot gegevensdiefstal
Wanneer e-mailgegevens worden gestolen, kunnen de hackers deze gebruiken om bedrijfsnetwerken te infiltreren. Zo krijgen ze toegang tot gegevens waar ze anders geen toegang tot zouden hebben. Of het nu gaat om persoonlijke informatie, bedrijfsgeheimen of financiële gegevens, de gevolgen van gegevensdiefstal kunnen schadelijk zijn.
Mogelijke reputatieschade
Zodra de bedreigingsactoren de referenties hebben, kunnen ze deze verspreiden via kanalen zoals Telegram. De aanval kan dus niet alleen leiden tot gegevensdiefstal, maar ook tot illegale verspreiding van gevoelige gegevens via verschillende kanalen. Dit kan leiden tot aanzienlijke reputatieschade en verlies van vertrouwen bij klanten.
Operationele verstoringen
Deze toolkit kan zich op hele organisaties tegelijk richten. Dit betekent dat het niet slechts één bedrijf kan verstoren, maar tientallen. Naast operationele verstoringen kan dit ook leiden tot aanzienlijke wereldwijde financiële verliezen.
Morphing Meerkat Phishing-opsporing en -mitigatiestrategieën
De dreigers achter deze phishingaanval hebben een slim mechanisme om niet gepakt te worden. In het geval van mislukte inlogpogingen leiden de kits het beoogde slachtoffer om naar de echte legitieme inlogpagina van hun e-mailserviceprovider. Hoewel het vrij moeilijk is om dit soort aanvallen te detecteren en te beperken, zijn er toch een aantal stappen die je kunt nemen.
1. Protocollen voor e-mailverificatie
Legerage e-mailverificatie en maak gebruik van SPF, DKIM en DMARC protocollen. Deze helpen u om uw e-mails te verifiëren en de kans op succesvolle spoofingpogingen te verkleinen. DMARC, DKIM en SPF werken samen om ervoor te zorgen dat alleen geautoriseerde, legitieme afzenders e-mails kunnen versturen namens uw domein. Dit maakt impersonatie veel moeilijker voor hackers, ongeacht hun technische expertise.
2. AI-gestuurde detectie van bedreigingen
Je kunt ook gebruikmaken van AI-oplossingen om phishingpogingen te detecteren lang voordat ze leiden tot gegevensdiefstal. Deze tools kunnen patronen detecteren en onderzoeken om je de nodige inzichten te geven in je e-mailactiviteiten.
PowerDMARC's AI-gestuurde DMARC informatie over bedreigingen biedt realtime inzicht in spoofing- en phishingpogingen. Het geeft je alertheid en inzicht in welk IP-adres verantwoordelijk was voor de spoofingpoging.
3. DNS-filtering en -bewaking
Probeer gebruik te maken van DNS-filtering om communicatie met verdachte domeinen en DoH-providers te blokkeren. Deze omvatten Cloudflare en Google. Deze worden vaak gebruikt door Morphing Meerkat om phishingpagina's te genereren op basis van MX-records. Naast DNS-filtering moet je ook je DNS-verkeer controleren op abnormale, ongebruikelijke of verdachte zoekopdrachten.
4. Multi-Factor Authenticatie (MFA)
MFA verplicht stellen voor alle belangrijke accounts kan je helpen om nog een extra beveiligingslaag toe te voegen. Aanvallers kunnen geen toegang krijgen tot je account zonder de tweede authenticatiefactor. Dit geldt zelfs als ze toegang hebben tot je referenties.
Laatste woorden
De Morphing Meerkat phishing kit vormt een ernstig risico voor bedrijven wereldwijd. De technieken en strategieën evolueren en worden steeds beter en slimmer. Net als hun mogelijke gevolgen. Als gevolg daarvan kan je bedrijf te maken krijgen met aanzienlijk gegevensverlies en operationele verstoringen. Het kan ook financiële schade en een slechte reputatie oplopen.
Maar het goede nieuws is dat je ze kunt detecteren en voorkomen. MFA, DNS-filtering en detectie van AI-bedreigingen kunnen je allemaal helpen om je voor te bereiden op de digitale strijd. E-mailverificatieprotocollen kunnen ook je e-mailcommunicatie beschermen en je beveiliging verbeteren.
Plan vandaag nog een beveiligingsaudit met PowerDMARC om evoluerende bedreigingen zoals Morphing Meerkat voor te blijven!
Inhoudspecialist bij PowerDMARC
Milena is een ervaren schrijfster en content creator met meer dan 7 jaar ervaring in het creëren van boeiende content over IT, cyberbeveiliging, virtuele evenementen en meer. Ze heeft bewezen werk van hoge kwaliteit af te leveren voor internationale tijdschriften en is afgestudeerd aan prestigieuze instellingen zoals New York University Abu Dhabi, UWC China en het Europacollege.
Laatste berichten van Milena Baghdasaryan (Bekijk alle berichten)
