Nově objevená phishing-as-a-service (PhaaS) operace, kterou výzkumníci nazývají Morphing Meerkat, využívá protokol DNS over HTTPS (DoH) k obcházení detekce. Platforma také využívá DNS záznamy pro výměnu e-mailů (MX) k identifikaci poskytovatelů e-mailových služeb obětí a dynamicky poskytuje falešné přihlašovací stránky pro více než 114 značek.

Morphing Meerkat je aktivní minimálně od roku 2020 a byl objeven bezpečnostními výzkumníky z Infoblox. Přestože byla aktivita částečně zdokumentována, po několik let zůstávala většinou nepovšimnuta.

Morphing Meerkat je PhaaS platforma, která poskytuje kompletní sadu nástrojů pro spuštění efektivních, škálovatelných a obtížně detekovatelných phishingových útoků, které vyžadují minimální technické znalosti.

Obsahuje centralizovanou SMTP infrastrukturu pro distribuci spamových e-mailů, přičemž 50 % sledovaných e-mailů pochází z internetových služeb poskytovaných společnostmi iomart (UK) a HostPapa (US).

Operace dokáže napodobit více než 114 poskytovatelů e-mailových a jiných služeb, včetně Gmailu, Outlooku, Yahoo, DHL, Maersk a RakBank, a doručuje zprávy s předměty navrženými tak, aby vyvolaly naléhavou akci, například „Vyžadována akce: Deaktivace účtu“.

E-maily jsou doručovány v několika jazycích, včetně angličtiny, španělštiny, ruštiny, a dokonce i čínštiny, a mohou falšovat jména a adresy odesílatelů.

Pokud oběť klikne na falešný odkaz ve zprávě, projde řetězcem přesměrování na reklamních platformách, jako je Google DoubleClick, často zahrnujícím kompromitované WordPress stránky, falešné domény a bezplatné hostingové služby.

Jakmile oběť dosáhne cílové stránky, phishingový kit načte a dotáže se na MX záznam e-mailové domény oběti pomocí DoH přes Google nebo Cloudflare. Na základě výsledku kit načte falešnou přihlašovací stránku s automaticky vyplněnou e-mailovou adresou oběti.

Zdroj: BleepingComputer