Thông tin về Morphing Meerkat Phishing Kit
Bài viết cung cấp thông tin chi tiết về “Morphing Meerkat”, một nền tảng phishing-as-a-service (PhaaS) khai thác các bản ghi mail exchange (MX) của hệ thống tên miền (DNS) để phục vụ các trang đăng nhập giả mạo cho khoảng 114 thương hiệu.
Các tính năng chính của Morphing Meerkat Phishing Kit
- Nền tảng Phishing-as-a-Service (PhaaS):Nền tảng Morphing Meerkat được thiết kế để phục vụ các trang đăng nhập giả mạo, mô phỏng giao diện của các trang web hợp pháp, làm cho nạn nhân khó phân biệt giữa thật và giả.
- Các bản ghi DNS MX:Tác nhân tấn công sử dụng các bản ghi MX DNS từ Cloudflare hoặc Google để nhận diện nhà cung cấp dịch vụ email của nạn nhân (ví dụ: Gmail, Microsoft Outlook, hoặc Yahoo!) và phục vụ các trang đăng nhập giả mạo một cách động. Nếu kit phishing không nhận diện được bản ghi MX, nó sẽ mặc định chuyển sang trang đăng nhập Roundcube.
- Dịch nội dung động:Kit phishing có khả năng dịch nội dung phishing một cách động sang hơn một chục ngôn ngữ khác nhau, bao gồm tiếng Anh, Hàn Quốc, Tây Ban Nha, Nga, Đức, Trung Quốc và Nhật Bản, nhằm mục tiêu người dùng trên toàn thế giới.
- Biện pháp chống phân tích:Các trang landing page phishing tích hợp các biện pháp chống phân tích, cấm việc sử dụng chuột phải cũng như các tổ hợp phím như Ctrl + S (lưu trang web dưới dạng HTML) và Ctrl + U (mở mã nguồn trang web), làm cho việc kiểm tra của các nhà phân tích bảo mật trở nên khó khăn hơn.
- Cơ sở hạ tầng bị xâm nhập:Tác nhân tấn công thường khai thác các redirect mở trên cơ sở hạ tầng quảng cáo và xâm nhập các miền để phân phối phishing. Họ cũng phân phối thông tin đăng nhập bị đánh cắp qua một số cơ chế, bao gồm Telegram.
- Chiến dịch và tác động:Một chiến dịch được ghi nhận bởi Forcepoint vào tháng 7 năm 2024 đã sử dụng các email phishing chứa liên kết đến một tài liệu chia sẻ giả mạo, hướng dẫn người nhận đến một trang đăng nhập giả mạo trên Cloudflare R2 để thu thập và exfiltrate thông tin đăng nhập qua Telegram.
- Các phương pháp phân phối:Kit phishing này sử dụng các trang web WordPress bị xâm nhập và các lỗ hổng redirect mở trên các nền tảng quảng cáo như DoubleClick của Google để vượt qua các bộ lọc bảo mật, cho phép phân phối hàng ngàn email spam một cách hiệu quả.
Các ý nghĩa thực tiễn
- Các cuộc tấn công có chủ đích:Việc sử dụng các bản ghi MX DNS để xác định nhà cung cấp dịch vụ email làm cho các cuộc tấn công trở nên có chủ đích và thuyết phục hơn, vì các trang phishing được thiết kế để trông như đến từ nhà cung cấp dịch vụ email của nạn nhân.
- Các biện pháp bảo mật:Người dùng cần thận trọng khi nhấp vào các liên kết từ các nguồn không xác định, đặc biệt là những liên kết yêu cầu thông tin đăng nhập. Xác minh tính xác thực của URL và kiểm tra bất kỳ hành vi bất thường nào trên trang web có thể giúp ngăn chặn các cuộc tấn công phishing.
- Bảo mật tổ chức:Các tổ chức cần đảm bảo rằng các bản ghi DNS của họ được bảo mật và không dễ dàng tiếp cận bởi các tác nhân độc hại. Việc triển khai các biện pháp bảo mật vững chắc như DNSSEC và theo dõi hoạt động DNS thường xuyên có thể giúp giảm thiểu các mối đe dọa như vậy.
