Zestaw phishingowy Morphing Meerkat: Głębokie zanurzenie w zagrożeniach i taktykach
Czas odczytu: 5 min
Z ponad 100 podrobionymi markami i tysiącami wysłanych wiadomości phishingowych, platforma Morphing Meerkat PhaaS stanowi sejsmiczną zmianę w wydajności cyberprzestępców, wykorzystując rekordy DNS MX do ominięcia tradycyjnych mechanizmów obronnych.
Infoblox donosi że aktor Morphing Meerkat wysłał tysiące wiadomości phishingowych, stanowiąc poważne zagrożenie dla globalnych firm. Skala i wyrafinowanie tych ataków wymagają natychmiastowej uwagi.
Kluczowe wnioski
- Zestaw phishingowy "Morphing Meerkat" podszył się ostatnio pod ponad 100 marek.
- Podmioty stanowiące zagrożenie wysłały ponad tysiąc wiadomości spamowych, sygnalizując globalną skalę ataku.
- Może to skutkować kradzieżą danych, zakłóceniami w działalności i utratą reputacji.
- Możesz chronić się przed tym zagrożeniem, stosując odpowiednie uwierzytelnianie poczty e-mail.
Czym jest zestaw phishingowy Morphing Meerkat?
Zestaw phishingowy Morphing Meerkat odnosi się do zestawu narzędzi, które umożliwiają podmiotom stanowiącym zagrożenie tworzenie stron internetowych, które wyglądają na legalne, ale w rzeczywistości są fałszywe. Ich celem jest nakłonienie użytkowników do ujawnienia poufnych informacji w celu kradzieży danych lub pieniędzy. Zestawy phishingowe zawierają kod HTML i PHP, który nawet początkujący hakerzy mogą tworzyć i wykorzystywać do przeprowadzania ataków phishingowych. Ich obsługa wymaga minimalnych umiejętności technicznych.
Zestawy te obejmują wstępnie zaprojektowane szablony wiadomości e-mail oraz nielegalne i zwodnicze strony logowania. Dodatkowe elementy zmuszają użytkowników do podania haseł lub szczegółów płatności.
Zestaw phishingowy "Morphing Meerkat" wykorzystuje rekordy MX do fałszowania marek i poświadczeń dostępu. Jak Infoblox Threat Intel zauważa"ta metoda ataku jest korzystna dla złych aktorów". Dzieje się tak, ponieważ wyświetla treści internetowe związane z ich dostawcą usług e-mail. Umożliwia to ukierunkowane ataki poprzez dostosowanie stron phishingowych do dostawców poczty e-mail ofiar.
Proces phishingu wygląda na legalny, ponieważ projekt strony docelowej jest zgodny z wiadomością spamową. Technika ta pomaga aktorowi nakłonić ofiarę do przesłania danych uwierzytelniających za pośrednictwem formularza phishingowego".
Jak działają ataki phishingowe typu Morphing Meerkat?
W tym ataku podmioty stanowiące zagrożenie dostosowują zawartość za pomocą wcześniej istniejących konfiguracji wiadomości e-mail. Hakerzy kradną dane uwierzytelniające i w ten sposób infiltrują sieci korporacyjne. Zapewnia im to dostęp do wrażliwych danych biznesowych (np. informacji o kartach kredytowych, tajnej komunikacji itp.)
Ten zestaw narzędzi wykorzystuje rekordy DNS MX do tworzenia fałszywych stron logowania. Następnie wykorzystuje je do uzyskania dostępu i kradzieży danych uwierzytelniających. Mówiąc dokładniej, najpierw potrzebuje ofiary docelowej, aby kliknęła niebezpieczny link phishingowy. Następnie zestaw phishingowy wysyła zapytanie do rekordu MX domeny e-mail ofiary. Ten krok pozwala im określić dostawcę usług e-mail. Zestaw obsługuje fałszywą stronę logowania naśladującą dostawcę poczty e-mail ofiary.
Celem każdego ataku Morphing Meerkat są dane logowania użytkowników poczty e-mail. W rzeczywistości był to początkowy punkt zainteresowania i chociaż atak ewoluował, cel pozostał ten sam.
Wiadomości phishingowe często wykorzystują zainfekowane witryny WordPress. Wykorzystują również otwarte luki w zabezpieczeniach przekierowań na różnych platformach reklamowych, w tym na należącej do Google DoubleClick. Pomaga im to łatwo i skutecznie ominąć filtry bezpieczeństwa.
Wpływ na organizacje
Oto kilka sposobów, w jakie ten zestaw narzędzi może wpłynąć na organizacje.
Ewolucje ciągłego ataku
Ten zestaw phishingowy stale ewoluuje, stając się coraz bardziej niebezpieczny dla organizacji. Pierwsze wykryte kampanie Morphing Meerkat zostały zidentyfikowane w 2020 roku. Wtedy jednak atak nie był postrzegany jako tak niebezpieczny. Początkowa wersja mogła obsługiwać tylko szablony phishingowe przebrane za Gmaila, Outlooka, AOL, Office 365 i Yahoo. Nie była dostępna żadna opcja tłumaczenia. Zestaw był w stanie wyświetlać tylko angielskie szablony phishingowe.
Obecnie jednak obejmuje ponad 114 projektów marek. Już w lipcu 2023 r. zestawy były w stanie ładować strony phishingowe zgodnie z dostępnymi rekordami DNS MX. Aktorzy zagrożeń wdrażają teraz wielojęzyczne strony phishingowe. Obsługiwane języki obejmują hiszpański, rosyjski, angielski, chiński, japoński, koreański, niemiecki itp.
Trudne do wykrycia i zwalczenia
W porównaniu z wieloma innymi tradycyjnymi zagrożeniami, ten zestaw narzędzi wykorzystuje wiele funkcji unikania zabezpieczeń. Na przykład, jego aktorzy często korzystają z otwartych przekierowań na serwerach adtech. Mogą również zaciemniać kod, aby utrudnić analizę. Ponadto, oprócz zaciemniania, phishingowe strony docelowe wykorzystują również środki zapobiegające analizie.
Pomagają one zabronić używania prawego przycisku myszy lub Ctrl + S i Ctrl + U - wśród innych skrótów klawiaturowych - w celu utrudnienia analizy. Ctrl + S zapisuje stronę, podczas gdy Ctrl + U wyświetla jej kod źródłowy. Wszystkie te kroki pomagają utrudnić analizę i odnieść sukces w ataku.
Wrota do kradzieży danych
Gdy poświadczenia e-mail zostaną skradzione, hakerzy mogą wykorzystać je do infiltracji sieci korporacyjnych. Daje im to dostęp do danych, do których w przeciwnym razie nie mieliby dostępu. Niezależnie od tego, czy są to dane osobowe, tajemnice biznesowe czy szczegóły finansowe, skutki kradzieży danych mogą być szkodliwe.
Potencjalne szkody dla reputacji
Gdy podmioty stanowiące zagrożenie zdobędą dane uwierzytelniające, mogą rozpowszechniać je za pośrednictwem kanałów takich jak Telegram. W ten sposób atak może prowadzić nie tylko do kradzieży danych, ale także do nielegalnej dystrybucji wrażliwych danych w różnych kanałach. Może to prowadzić do znacznego uszczerbku na reputacji i utraty zaufania klientów.
Zakłócenia operacyjne
Ten zestaw narzędzi może być ukierunkowany na całe organizacje w tym samym czasie. Oznacza to, że może zakłócić przepływ pracy nie tylko na poziomie pojedynczej firmy, ale dziesiątek. Oprócz zakłóceń operacyjnych może to również przynieść znaczne globalne straty finansowe.
Strategie wykrywania i łagodzenia skutków phishingu typu Morphing Meerkat
Podmioty stojące za tym atakiem phishingowym mają sprytny mechanizm, aby nie dać się złapać. W przypadku nieudanych prób logowania, zestawy przekierowują docelową ofiarę na prawdziwą stronę logowania ich dostawcy usług e-mail. Chociaż dość trudno jest wykryć i złagodzić ten rodzaj ataku, nadal istnieją pewne kroki, które można podjąć.
1. Protokoły uwierzytelniania poczty e-mail
Uwierzytelnianie poczty e-mail Legerage i korzystanie z SPF, DKIM i DMARC protokołów. Pomogą one w uwierzytelnianiu wiadomości e-mail i zmniejszą prawdopodobieństwo udanych prób spoofingu. DMARC, DKIM i SPF współpracują ze sobą, aby zapewnić, że tylko autoryzowani, legalni nadawcy mogą wysyłać wiadomości e-mail w imieniu Twojej domeny. To sprawia, że podszywanie się jest znacznie trudniejsze dla hakerów, niezależnie od ich wiedzy technicznej.
2. Wykrywanie zagrożeń oparte na sztucznej inteligencji
Możesz także skorzystać z rozwiązań opartych na sztucznej inteligencji, aby wykrywać próby phishingu na długo przed tym, zanim doprowadzą one do kradzieży danych. Narzędzia te mogą wykrywać i badać wzorce, aby zapewnić niezbędny wgląd w aktywność e-mail.
Oparta na sztucznej inteligencji PowerDMARC Inteligencja zagrożeń DMARC zapewnia wgląd w czasie rzeczywistym w próby spoofingu i phishingu. Daje to czujność i wgląd w to, który adres IP był odpowiedzialny za próbę spoofingu.
3. Filtrowanie i monitorowanie DNS
Spróbuj wykorzystać filtrowanie DNS, aby zablokować komunikację z podejrzanymi domenami i dostawcami DoH. Należą do nich Cloudflare i Google. Są one często wykorzystywane przez Morphing Meerkat do generowania stron phishingowych na podstawie rekordów MX. Oprócz filtrowania DNS należy również sprawdzić ruch DNS pod kątem nietypowych, nietypowych lub podejrzanych zapytań.
4. Uwierzytelnianie wieloskładnikowe (MFA)
Wymaganie uwierzytelniania wieloskładnikowego na wszystkich krytycznych kontach może pomóc w dodaniu jeszcze jednej warstwy zabezpieczeń. Atakujący nie mogą uzyskać dostępu do konta bez drugiego czynnika uwierzytelniania. Dzieje się tak nawet wtedy, gdy mają dostęp do poświadczeń użytkownika.
Słowa końcowe
Zestaw phishingowy Morphing Meerkat stanowi poważne zagrożenie dla firm na całym świecie. Jego techniki i strategie ewoluują i stają się coraz lepsze i inteligentniejsze. Podobnie jak ich potencjalne konsekwencje. W rezultacie Twoja firma może ponieść znaczną utratę danych i zakłócenia operacyjne. Może również doświadczyć szkód finansowych i złej reputacji.
Dobra wiadomość jest jednak taka, że można je wykrywać i im zapobiegać. MFA, filtrowanie DNS i wykrywanie zagrożeń oparte na sztucznej inteligencji mogą pomóc w przygotowaniu się do cyfrowej bitwy. Protokoły uwierzytelniania poczty e-mail mogą również chronić komunikację e-mail i zwiększać bezpieczeństwo.
Aby wyprzedzić ewoluujące zagrożenia, takie jak Morphing Meerkat, już dziś zaplanuj audyt bezpieczeństwa z PowerDMARC!
Specjalista ds. treści w PowerDMARC
Milena jest wykwalifikowaną pisarką i twórczynią treści z ponad 7-letnim doświadczeniem w tworzeniu angażujących treści na temat IT, cyberbezpieczeństwa, wirtualnych wydarzeń i nie tylko. Ma udokumentowane doświadczenie w dostarczaniu wysokiej jakości prac dla międzynarodowych magazynów i jest absolwentką prestiżowych instytucji, takich jak New York University Abu Dhabi, UWC China i College of Europe.
Najnowsze posty autorstwa Milena Baghdasaryan (zobacz wszystkie)
