Фишинговый набор Morphing Meerkat: Глубокое исследование угроз и тактики его использования

Платформа Morphing Meerkat PhaaS представляет собой сейсмический сдвиг в эффективности киберпреступников, использующих записи DNS MX для обхода традиционных средств защиты, поскольку подделано более 100 брендов и разосланы тысячи фишинговых писем.

Компания Infoblox сообщает. Актер Morphing Meerkat разослал тысячи фишинговых писем, представляющих серьезную угрозу для глобальных компаний. Масштаб и изощренность этих атак требуют немедленного внимания.

Что такое фишинговый набор Morphing Meerkat?

Фишинговый набор Morphing Meerkat - это набор инструментов, позволяющих участникам угроз создавать сайты, которые выглядят законно, но на самом деле являются мошенническими. Их цель - обманом заставить пользователей раскрыть конфиденциальную информацию, чтобы украсть данные или деньги. Фишинговые наборы включают HTML- и PHP-код, который могут создать и использовать для проведения фишинговых атак даже начинающие хакеры. Для работы с ними требуются минимальные технические навыки. 

Эти наборы включают в себя заранее разработанные шаблоны электронных писем и незаконные и обманчивые страницы входа в систему. Дополнительные элементы принуждают пользователей к передаче паролей или платежных реквизитов. 

Фишинговый набор "Morphing Meerkat" использует записи MX для подмены брендов и доступа к учетным данным. Как отмечает Infoblox Threat Intel отмечает."этот метод атаки выгоден для злоумышленников". Это связано с тем, что он отображает веб-контент, связанный с поставщиком услуг электронной почты. Это позволяет проводить целенаправленные атаки, привязывая фишинговые страницы к почтовым провайдерам жертв.

Фишинг выглядит легитимным, поскольку дизайн целевой страницы соответствует сообщению спам-письма. Этот прием помогает злоумышленнику обманом заставить жертву ввести свои учетные данные электронной почты через фишинговую веб-форму".

Как работают фишинговые атаки с использованием морфинга сурикатов

В ходе этой атаки участники угрозы настраивают контент с помощью уже существующих конфигураций электронной почты. Хакеры крадут учетные данные и таким образом проникают в корпоративные сети. В результате они получают доступ к конфиденциальным бизнес-данным (например, информации о кредитных картах, секретным сообщениям и т. д.).

Этот набор инструментов использует записи DNS MX для создания поддельных страниц входа в систему. Затем он использует их для доступа и кражи учетных данных. Если говорить точнее, то сначала нужно, чтобы жертва нажала на небезопасную фишинговую ссылку. Затем фишинговый набор запрашивает MX-запись почтового домена жертвы. Этот шаг позволяет определить поставщика услуг электронной почты. После этого на экране появляется поддельная страница входа в систему, имитирующая почтового провайдера жертвы. 

Целью каждой атаки Morphing Meerkat являются учетные данные пользователей электронной почты. Собственно, это и было первоначальным объектом интереса, и хотя атака развивалась, цель осталась прежней. 

Фишинговые сообщения часто используют взломанные сайты WordPress. Они также используют открытые уязвимости редиректов на различных рекламных платформах, включая принадлежащую Google DoubleClick. Это помогает им легко и эффективно обходить фильтры безопасности.

Влияние на организации

Вот некоторые способы воздействия этого набора на организации.

Эволюции постоянной атаки

Этот фишинговый набор постоянно развивается, становясь все более опасным для организаций. Первые обнаруженные кампании Morphing Meerkat были выявлены в 2020 году. Однако тогда атака не считалась такой уж опасной. Первоначальная версия могла обслуживать только фишинговые веб-шаблоны, замаскированные под Gmail, Outlook, AOL, Office 365 и Yahoo. Возможность перевода отсутствовала. Набор мог отображать только англоязычные фишинговые шаблоны. 

Однако сегодня он охватывает более 114 брендовых дизайнов. Уже в июле 2023 года наборы смогли загружать фишинговые страницы в соответствии с полученными DNS MX-записями. Угрожающие субъекты теперь развертывают многоязычные фишинговые страницы. Среди поддерживаемых языков - испанский, русский, английский, китайский, японский, корейский, немецкий и другие.

Сложность обнаружения и борьбы с ними

По сравнению со многими другими традиционными угрозами, этот набор использует множество средств обхода защиты. Например, его участники часто используют открытые редиректы на серверах adtech. Они также могут обфусцировать код, чтобы затруднить анализ. Более того, помимо обфускации, фишинговые целевые страницы также используют меры по борьбе с анализом. 

С их помощью можно запретить использование правой кнопки мыши или комбинаций клавиш Ctrl + S и Ctrl + U - наряду с другими сочетаниями клавиш - для затруднения анализа. Ctrl+S сохраняет страницу, а Ctrl+U отображает ее исходный код. Все эти действия помогут затруднить анализ и добиться успеха в атаке. 

Ворота для кражи данных

Похитив учетные данные электронной почты, хакеры могут использовать их для проникновения в корпоративные сети. Таким образом, они получают доступ к данным, к которым иначе не смогли бы получить доступ. Будь то личная информация, коммерческие тайны или финансовые данные, последствия кражи данных могут быть пагубными. 

Потенциальный репутационный ущерб

Получив учетные данные, злоумышленники могут распространить их по каналам, подобным Telegram. Таким образом, атака может привести не только к краже данных, но и к незаконному распространению конфиденциальной информации по различным каналам. Это может привести к значительному репутационному ущербу и потере доверия клиентов. 

Операционные сбои

Этот набор инструментов может одновременно воздействовать на целые организации. Это означает, что он может нарушить рабочие процессы на уровне не одного предприятия, а десятков. Помимо сбоев в работе, это может принести значительные финансовые потери в глобальном масштабе. 

Стратегии обнаружения и борьбы с фишингом с помощью морфинга сурикатов 

Угрозы, стоящие за этой фишинговой атакой, имеют продуманный механизм, позволяющий не попасться. В случае неудачных попыток входа в систему наборы перенаправляют жертву на настоящую легитимную страницу входа в систему поставщика услуг электронной почты. Хотя обнаружить и нейтрализовать этот тип атаки довольно сложно, некоторые меры все же можно предпринять. 

1. Протоколы проверки подлинности электронной почты

Аутентификация электронной почты Legerage и использование SPF, DKIM и DMARC протоколы. Они помогут вам проверить подлинность ваших писем и снизить вероятность успешных попыток подмены. DMARC, DKIM и SPF работают вместе, чтобы гарантировать, что только авторизованные, легитимные отправители могут отправлять электронные письма от имени вашего домена. Это значительно усложняет задачу хакеров, независимо от их технических знаний.

2. Обнаружение угроз на основе искусственного интеллекта

Вы также можете использовать решения на основе искусственного интеллекта для обнаружения попыток фишинга задолго до того, как они приведут к краже данных. Эти инструменты могут обнаружить и изучить закономерности, чтобы предоставить вам необходимые сведения об активности в электронной почте.

Управляемая искусственным интеллектом система PowerDMARC анализ угроз DMARC позволяет в режиме реального времени выявлять попытки подмены и фишинга. Это дает вам бдительность и возможность понять, какой IP-адрес был ответственен за попытку подмены.

3. Фильтрация и мониторинг DNS

Попробуйте использовать DNS-фильтрацию для блокировки связи с подозрительными доменами и провайдерами DoH. К ним относятся Cloudflare и Google. Они часто используются Morphing Meerkat для создания фишинговых страниц на основе MX-записей. Помимо DNS-фильтрации, вам также следует проверить DNS-трафик на предмет аномальных, необычных или подозрительных запросов.

4. Многофакторная аутентификация (MFA)

Требование MFA для всех важных учетных записей поможет вам добавить еще один уровень безопасности. Злоумышленники не смогут получить доступ к вашей учетной записи без второго фактора аутентификации. Это справедливо даже в том случае, если у них есть доступ к вашим учетным данным.

Заключительные слова

Фишинговый набор Morphing Meerkat представляет серьезную опасность для компаний по всему миру. Его методы и стратегии развиваются и становятся все лучше и умнее. Как и их потенциальные последствия. В результате ваш бизнес может понести значительные потери данных и нарушить операционную деятельность. Кроме того, может быть нанесен финансовый ущерб и испорчена репутация. 

Однако есть и хорошая новость: их можно обнаружить и предотвратить. MFA, фильтрация DNS и обнаружение угроз на основе искусственного интеллекта помогут вам подготовиться к цифровой битве. Протоколы аутентификации электронной почты также могут защитить ваши почтовые сообщения и укрепить вашу безопасность. 

Чтобы опередить развивающиеся угрозы, такие как Morphing Meerkat, запланируйте аудит безопасности в PowerDMARC уже сегодня!

• О сайте
• Последние сообщения

Милена Багдасарян

Специалист по контенту в PowerDMARC

Милена - опытный писатель и создатель контента с более чем 7-летним опытом работы в создании увлекательных материалов по ИТ, кибербезопасности, виртуальным мероприятиям и многим другим темам. У нее есть опыт работы с высококачественными материалами для международных журналов, она окончила такие престижные учебные заведения, как Нью-Йоркский университет Абу-Даби, UWC China и Колледж Европы.

Последние сообщения Милены Багдасарян (см. все)

• Обзор Sendmarc: функции, отзывы пользователей, плюсы и минусы (2026) - 22 апреля 2026 г.
• Соответствие стандарту FIPS: как укрепить свою инфраструктуру до крайнего срока в 2026 году - 20 апреля 2026 г.
• Безопасность при работе с клиентами: 5 способов не дать вашей команде продаж выглядеть как фишеры - 14 апреля 2026 г.