Phishing-as-a-Service revelado

01/04/2025 mindsecblog Notícias 0

Morphing Meerkat falsifica mais de 100 marcas e rouba credenciais

A Infoblox Threat Intel descobriu uma plataforma de Phishing-as-a-Service (PhaaS) altamente sofisticada que representa uma ameaça significativa para empresas em todo o mundo.

O agente de ameaças por trás dessas campanhas, apelidado de “Morphing Meerkat”, emprega criativamente registros de troca de e-mail (MX) de DNS para fornecer dinamicamente páginas de login falsas, imitando mais de 100 marcas e, dessa maneira, roubando credenciais de acesso.

Quando a vítima clica em um link de phishing, o kit de phishing consulta o registro MX do domínio de e-mail do usuário para identificar seu provedor. Com base no registro MX, o kit gera dinamicamente uma página de login falsa que imita a página real do provedor de e-mail da vítima. Esta nova técnica de DNS permite que o agente personalize o conteúdo para as vítimas usando configurações de e-mail que existem para outros propósitos. Além disso, é uma versão em DNS da técnica chamada de “living off the land”, na qual hackers usam elementos do próprio ambiente para se esconder.

Morphing Meerkat é um kit de phishing sofisticado que fornece aos criminosos cibernéticos:

Roubo de credenciais: depois que as vítimas inserem suas credenciais de login na página falsa, o Morphing Meerkat rouba as credenciais e as envia aos cibercriminosos.
Redirecionamento: para evitar suspeitas, o kit de phishing geralmente redireciona a vítima para a página de login real do provedor de serviços de e-mail após algumas tentativas de login malsucedidas.
Alcance global: o kit de phishing pode traduzir as páginas de login falsas para vários idiomas, visando usuários no mundo todo.
Isca individual: o uso de registros MX para veicular dinamicamente páginas de phishing personalizadas torna as tentativas de phishing mais convincentes.
Técnicas de evasão: a plataforma emprega várias técnicas de evasão para contornar sistemas de segurança tradicionais, como usar redirecionamentos abertos em servidores de adtech e ofuscar código para dificultar a análise.
Escalabilidade: como uma plataforma PhaaS, ela permite que até mesmo criminosos cibernéticos sem conhecimento técnico lancem campanhas de phishing em larga escala, o que a torna uma ameaça significativa.

Quando os cibercriminosos obtêm credenciais de acesso por meio de um golpe de phishing como o Morphing Meerkat, o impacto pode ser severo, especialmente para empresas. Com essas credenciais, eles podem se infiltrar em redes corporativas, roubar dados confidenciais e até mesmo lançar novos ataques. Isso pode levar a perdas financeiras significativas, danos à reputação e responsabilidades legais para as empresas. Além disso, contas comprometidas podem ser usadas para enviar e-mails de phishing para outros funcionários ou clientes, espalhando ainda mais o ataque e causando interrupções generalizadas.

Visibilidade e monitoramento são essenciais para uma segurança eficaz das empresas. O Morphing Meerkat exemplifica como os cibercriminosos exploram pontos cegos de segurança usando técnicas avançadas como camuflagem de DNS e redirecionamentos abertos.

As organizações podem se proteger contra esses tipos de ataques adicionando uma camada forte de segurança de DNS aos seus sistemas. Isso envolve reforçar o controle de DNS para impedir que usuários se comuniquem com servidores DoH ou bloquear o acesso a infraestruturas de adtech e compartilhamento de arquivos que não sejam críticas para os negócios.

Se as empresas puderem reduzir o número de serviços sem importância em sua rede, elas podem reduzir sua superfície de ataque, dando menos opções aos cibercriminosos para a entrega de ameaças.