I ricercatori della sicurezza informatica hanno fatto luce su una nuova piattaforma di phishing-as-a-service (PHAAS) che sfrutta il sistema di nomi di dominio (DNS) Scambio di posta (MX) Document per servire false pagine di accesso che impersonano circa 114 marchi.
La società di intelligence DNS Infoblox sta monitorando l’attore dietro i Phaas, il package di phishing e l’attività correlata sotto il moniker Morphing Meerkat.
“L’attore di minaccia dietro le campagne spesso sfrutta i reindirizzamenti aperti sull’infrastruttura adtech, compromette i domini per la distribuzione del phishing e distribuisce credenziali rubate attraverso diversi meccanismi, tra cui Telegram”, ha affermato la società in A rapporto condiviso con le notizie di hacker.
Uno di questi campagna Sfruttare il toolkit di Phaas period documentato di Forcepoint nel luglio 2024, in cui le e -mail di phishing contenevano collegamenti a un presunto documento condiviso che, se cliccata, ha diretto il destinatario a una pagina di accesso falsa ospitata su Cloudflare R2 con l’obiettivo finale di raccogliere ed esfiltrare le credenziali tramite Telegram.
Si stima che Morphing Meerkat abbia consegnato migliaia di e -mail di spam, con i messaggi di phishing che utilizzano siti Net WordPress compromessi e Vulnerabilità di reindirizzamento aperto Su piattaforme pubblicitarie come DoubleClick di proprietà di Google per bypassare i filtri di sicurezza.
È inoltre in grado di tradurre dinamicamente il testo del contenuto di phishing in oltre una dozzina di lingue various, tra cui inglese, coreano, spagnolo, russo, tedesco, cinese e giapponese, per indirizzare gli utenti in tutto il mondo.
Oltre a complicare la leggibilità del codice tramite offuscamento e inflazione, le pagine di atterraggio di phishing incorporano misure anti-analisi che proibiscono l’uso del tasto destro del mouse e le combinazioni di tastiera di tastiera CTRL + S (salva la pagina Net come HTML), Ctrl + U (aprire il codice sorgente della pagina Net).
Ma ciò che distingue l’attore delle minacce è il suo uso dei document MX DNS ottenuti da CloudFlare o Google per identificare il fornitore di servizi di posta elettronica della vittima (EG, Gmail, Microsoft Outlook o Yahoo!) e servire dinamicamente pagine di accesso false. Nel caso in cui il package di phishing non sia in grado di riconoscere il document MX, predefinito a un Roundcube pagina di accesso.
“Questo metodo di attacco è vantaggioso per i cattivi attori perché consente loro di effettuare attacchi mirati alle vittime mostrando contenuti Net fortemente correlati al loro fornitore di servizi di posta elettronica”, ha affermato Infoblox. “
“L’esperienza complessiva di phishing sembra naturale perché la progettazione della pagina di destinazione è coerente con il messaggio di E-mail SPAM. Questa tecnica aiuta l’attore indurre la vittima a presentare le loro credenziali e -mail tramite il modulo Net di phishing.”
