Pesquisadores de segurança cibernética revelaram detalhes sobre uma nova plataforma de phishing como serviço (PhaaS) que está empregando uma técnica sofisticada: o uso de registros de troca de e-mail (MX) do Sistema de Nomes de Domínio (DNS) para exibir páginas de login fraudulentas que se passam por aproximadamente 114 marcas diferentes.
A empresa de inteligência de DNS, Infoblox, está monitorando o agente por trás dessa operação PhaaS, o kit de phishing e as atividades relacionadas sob o nome de “Morphing Meerkat”.
“O agente de ameaças por trás dessas campanhas frequentemente explora redirecionamentos abertos em infraestrutura de adtech, compromete domínios para distribuir phishing e dissemina credenciais roubadas por meio de diversos canais, incluindo o Telegram”, relatou a empresa em um estudo compartilhado com o The Hacker News.
Um exemplo dessas campanhas, que se beneficiou do kit de ferramentas PhaaS, foi documentado pela Forcepoint em julho de 2024. Nessa ocasião, e-mails de phishing continham links para um suposto documento compartilhado que, ao ser clicado, redirecionava a vítima para uma página de login falsa hospedada no Cloudflare R2. O objetivo final era coletar e exfiltrar as credenciais por meio do Telegram.
Estima-se que o Morphing Meerkat tenha enviado milhares de e-mails de spam, com mensagens de phishing utilizando sites WordPress comprometidos e vulnerabilidades de redirecionamento aberto em plataformas de publicidade, como o DoubleClick do Google, para burlar os filtros de segurança.
Notícias Relacionadas
Ciberataques sofisticados
Hackers norte-coreanos usam falsas consultorias para espalhar vírus via entrevistas de emprego
Grupos de cibercriminosos ligados ao regime da Coreia do Norte estão inovando suas táticas ao usar empresas fictícias no setor de criptomoedas para disseminar malware durante falsas entrevistas de emprego. A prática, parte da campanha batizada de Entrevista Contagiosa, visa principalmente profissionais da área de tecnologia. Golpe digital: hackers norte-coreanos espalham malware com falsas vagas […]
Segurança digital
Spyware disfarçado de Alpine Quest infecta Androids de militares russos
Especialistas em segurança digital identificaram uma sofisticada operação de espionagem cibernética que tem como alvo militares russos por meio de um spyware disfarçado como o aplicativo de mapeamento Alpine Quest. A campanha, que modifica versões antigas do app legítimo, explora a popularidade da ferramenta entre os usuários que atuam em zonas de conflito, especialmente na […]
Como o phishing Morphing Meerkat utiliza registros DNS MX para enganar vítimas
Além disso, essa ferramenta é capaz de traduzir dinamicamente o texto do conteúdo de phishing para mais de uma dúzia de idiomas, incluindo inglês, coreano, espanhol, russo, alemão, chinês e japonês, ampliando seu alcance global.
Para dificultar a análise do código, as páginas de destino de phishing incorporam medidas antianálise, como ofuscação e inflação, além de bloquear o uso do clique com o botão direito do mouse e combinações de teclas de atalho como Ctrl + S (salvar página como HTML) e Ctrl + U (exibir código-fonte da página).
No entanto, o que realmente diferencia esse agente de ameaças é a utilização de registros DNS MX obtidos do Cloudflare ou do Google para identificar o provedor de serviços de e-mail da vítima (por exemplo, Gmail, Microsoft Outlook ou Yahoo!) e, assim, exibir dinamicamente páginas de login falsas. Caso o kit de phishing não consiga reconhecer o registro MX, ele exibe uma página de login padrão do Roundcube.
“Esse método de ataque é vantajoso para os criminosos, pois permite que eles realizem ataques direcionados às vítimas, apresentando conteúdo web intimamente relacionado ao seu provedor de serviços de e-mail”, explicou a Infoblox.
“A experiência geral de phishing se torna mais convincente, pois o design da landing page se alinha com a mensagem do e-mail de spam. Essa técnica auxilia o agente a enganar a vítima, induzindo-a a fornecer suas credenciais de e-mail por meio do formulário web de phishing.”
