Los investigadores de ciberseguridad han arrojado luz sobre una nueva plataforma de phishing as-a-Service (PHAAS) que aprovecha los registros de intercambio de correo (MX) del sistema de dominio (DNS) para servir páginas de inicio de sesión falsas que se hacen tener lugar por 114 marcas.
La firma de inteligencia de DNS Informlox está rastreando al actor detrás de los faas, el kit de phishing y la actividad relacionada bajo el apodo Morphing Meerkat.
“El actor de amenazas detrás de las campañas a menudo explota las redireccionamientos abiertos en la infraestructura de Adtech, compromete los dominios para la distribución de phishing y distribuye credenciales robadas a través de varios mecanismos, incluido el telegrama”, dijo la compañía en un referencia compartido con The Hacker News.
Forcepoint documentó una campaña que aprovechó el kit de herramientas PHAAS en julio de 2024, donde los correos electrónicos de phishing contenían enlaces a un supuesto documento compartido que, cuando se hizo clic, dirigió al destinatario a una página de inicio de sesión falsa alojada en Cloudflare R2 con el objetivo final de compilar y exfiltrar las credenciales a través de Telegram.
Se estima que Morphing Meerkat ha entregado miles de correos electrónicos de spam, con los mensajes de phishing utilizando sitios web comprometidos de WordPress y rajar vulnerabilidades de redirección en plataformas publicitarias como DoubleClick propiedad de Google para evitar filtros de seguridad.
Igualmente es capaz de traducir el texto de contenido de phishing dinámicamente en más de una docena de idiomas diferentes, incluidos inglés, coreano, gachupin, ruso, teutónico, chino y japonés, para atacar a los usuarios de todo el mundo.
Encima de complicar la legibilidad del código a través de la ofuscación y la inflación, las páginas de destino de phishing incorporan medidas anti-análisis que prohíben el uso del clic derecho del mouse, así como las combinaciones de teclado de teclado Ctrl + S (guarde la página web como HTML), Ctrl + U (refugio el código fuente de la página web).
Pero lo que hace que el actor de amenaza se destaque es su uso de registros DNS MX obtenidos de Cloudflare o Google para identificar al proveedor de servicios de correo electrónico de la víctima (por ejemplo, Gmail, Microsoft Outlook o Yahoo!) y atender dinámicamente páginas de inicio de sesión falsas. En el caso de que el kit de phishing no pueda registrar el registro MX, el valencia predeterminado es una página de inicio de sesión de RoundCube.
“Este método de ataque es favorable para los malos actores porque les permite transigir a final ataques específicos a las víctimas al mostrar contenido web fuertemente relacionado con su proveedor de servicios de correo electrónico”, dijo Infloxox. “
“La experiencia genérico de phishing se siente natural porque el diseño de la página de destino es consistente con el mensaje del correo electrónico spam. Esta técnica ayuda al actor a engañar a la víctima para que envíe sus credenciales de correo electrónico a través del formulario de phishing”.
