網(wǎng)絡(luò)安全研究人員揭露了一個新的 “網(wǎng)絡(luò)釣魚即服務(wù)” （PhaaS）平臺，該平臺利用域名系統(tǒng)（DNS）郵件交換（MX）記錄來提供模仿約 114 個品牌的虛假登錄頁面。

DNS 情報公司 Infoblox 正在追蹤這個 “網(wǎng)絡(luò)釣魚即服務(wù)” 背后的攻擊者、其網(wǎng)絡(luò)釣魚工具包以及相關(guān)活動，并將其命名為 Morphing Meerkat。

Morphing Meerkat 的攻擊手法分析

該公司在與 The Hacker News 分享的一份報告中稱：“這些攻擊活動背后的威脅行為者經(jīng)常利用廣告技術(shù)基礎(chǔ)設(shè)施上的開放式重定向漏洞，侵占域名用于網(wǎng)絡(luò)釣魚傳播，并通過包括 Telegram 在內(nèi)的多種機制來分發(fā)竊取到的憑據(jù)?！?/p>

2024 年 7 月，F(xiàn)orcepoint 記錄了一場利用該 “網(wǎng)絡(luò)釣魚即服務(wù)” 工具包進(jìn)行的攻擊活動。在這場活動中，網(wǎng)絡(luò)釣魚電子郵件包含指向一個所謂共享文檔的鏈接，收件人點擊后會被引導(dǎo)至一個托管在 Cloudflare R2 上的虛假登錄頁面，最終目的是通過 Telegram 收集并竊取憑據(jù)。

據(jù)估計，Morphing Meerkat 已發(fā)送了數(shù)千封垃圾郵件，這些網(wǎng)絡(luò)釣魚信息利用被入侵的 WordPress 網(wǎng)站以及Google 旗下的 DoubleClick 等廣告平臺上的開放式重定向漏洞，繞過了安全過濾器。

它還能夠?qū)⒕W(wǎng)絡(luò)釣魚內(nèi)容的文本動態(tài)翻譯成十多種不同的語言，包括英語、韓語、西班牙語、俄語、德語、中文和日語，以針對全球各地的用戶。

Morphing Meerkat獨特的攻擊技術(shù)

除了通過混淆和擴充代碼來增加代碼可讀性的難度外，這些網(wǎng)絡(luò)釣魚著陸頁還采用了反分析措施，禁止使用鼠標(biāo)右鍵點擊，以及禁止使用鍵盤熱鍵組合 Ctrl + S（將網(wǎng)頁另存為 HTML 格式）和 Ctrl + U（打開網(wǎng)頁源代碼）。

但真正讓這個威脅行為者與眾不同的是，它會使用從 Cloudflare 或 Google 獲取的 DNS MX 記錄來識別受害者的電子郵件服務(wù)提供商（如 Gmail、Microsoft  Outlook 或Yahoo等），并動態(tài)地提供虛假登錄頁面。如果網(wǎng)絡(luò)釣魚工具包無法識別 MX 記錄，它就會默認(rèn)顯示一個 Roundcube 登錄頁面。

Infoblox公司表示：“這種攻擊方法對惡意行為者來說很有優(yōu)勢，因為它使他們能夠通過展示與受害者的電子郵件服務(wù)提供商密切相關(guān)的網(wǎng)頁內(nèi)容，對受害者進(jìn)行有針對性的攻擊?！?/p>

“整體的網(wǎng)絡(luò)釣魚體驗讓人感覺很自然，因為著陸頁的設(shè)計與垃圾郵件的內(nèi)容是一致的。這種技術(shù)有助于攻擊者誘騙受害者通過網(wǎng)絡(luò)釣魚網(wǎng)頁表單提交他們的電子郵件憑據(jù)?！?/p>