網(wǎng)絡(luò)安全研究人員揭露了一個(gè)新的 “網(wǎng)絡(luò)釣魚即服務(wù)” （PhaaS）平臺(tái)，該平臺(tái)利用域名系統(tǒng)（DNS）郵件交換（MX）記錄來(lái)提供模仿約 114 個(gè)品牌的虛假登錄頁(yè)面。

DNS 情報(bào)公司 Infoblox 正在追蹤這個(gè) “網(wǎng)絡(luò)釣魚即服務(wù)” 背后的攻擊者、其網(wǎng)絡(luò)釣魚工具包以及相關(guān)活動(dòng)，并將其命名為 Morphing Meerkat。

Morphing Meerkat 的攻擊手法分析

該公司在與 The Hacker News 分享的一份報(bào)告中稱：“這些攻擊活動(dòng)背后的威脅行為者經(jīng)常利用廣告技術(shù)基礎(chǔ)設(shè)施上的開放式重定向漏洞，侵占域名用于網(wǎng)絡(luò)釣魚傳播，并通過(guò)包括 Telegram 在內(nèi)的多種機(jī)制來(lái)分發(fā)竊取到的憑據(jù)?！?/p>

2024 年 7 月，F(xiàn)orcepoint 記錄了一場(chǎng)利用該 “網(wǎng)絡(luò)釣魚即服務(wù)” 工具包進(jìn)行的攻擊活動(dòng)。在這場(chǎng)活動(dòng)中，網(wǎng)絡(luò)釣魚電子郵件包含指向一個(gè)所謂共享文檔的鏈接，收件人點(diǎn)擊后會(huì)被引導(dǎo)至一個(gè)托管在 Cloudflare R2 上的虛假登錄頁(yè)面，最終目的是通過(guò) Telegram 收集并竊取憑據(jù)。

據(jù)估計(jì)，Morphing Meerkat 已發(fā)送了數(shù)千封垃圾郵件，這些網(wǎng)絡(luò)釣魚信息利用被入侵的 WordPress 網(wǎng)站以及Google 旗下的 DoubleClick 等廣告平臺(tái)上的開放式重定向漏洞，繞過(guò)了安全過(guò)濾器。

它還能夠?qū)⒕W(wǎng)絡(luò)釣魚內(nèi)容的文本動(dòng)態(tài)翻譯成十多種不同的語(yǔ)言，包括英語(yǔ)、韓語(yǔ)、西班牙語(yǔ)、俄語(yǔ)、德語(yǔ)、中文和日語(yǔ)，以針對(duì)全球各地的用戶。

Morphing Meerkat獨(dú)特的攻擊技術(shù)

除了通過(guò)混淆和擴(kuò)充代碼來(lái)增加代碼可讀性的難度外，這些網(wǎng)絡(luò)釣魚著陸頁(yè)還采用了反分析措施，禁止使用鼠標(biāo)右鍵點(diǎn)擊，以及禁止使用鍵盤熱鍵組合 Ctrl + S（將網(wǎng)頁(yè)另存為 HTML 格式）和 Ctrl + U（打開網(wǎng)頁(yè)源代碼）。

但真正讓這個(gè)威脅行為者與眾不同的是，它會(huì)使用從 Cloudflare 或 Google 獲取的 DNS MX 記錄來(lái)識(shí)別受害者的電子郵件服務(wù)提供商（如 Gmail、Microsoft  Outlook 或Yahoo等），并動(dòng)態(tài)地提供虛假登錄頁(yè)面。如果網(wǎng)絡(luò)釣魚工具包無(wú)法識(shí)別 MX 記錄，它就會(huì)默認(rèn)顯示一個(gè) Roundcube 登錄頁(yè)面。

Infoblox公司表示：“這種攻擊方法對(duì)惡意行為者來(lái)說(shuō)很有優(yōu)勢(shì)，因?yàn)樗顾麄兡軌蛲ㄟ^(guò)展示與受害者的電子郵件服務(wù)提供商密切相關(guān)的網(wǎng)頁(yè)內(nèi)容，對(duì)受害者進(jìn)行有針對(duì)性的攻擊。”

“整體的網(wǎng)絡(luò)釣魚體驗(yàn)讓人感覺(jué)很自然，因?yàn)橹戫?yè)的設(shè)計(jì)與垃圾郵件的內(nèi)容是一致的。這種技術(shù)有助于攻擊者誘騙受害者通過(guò)網(wǎng)絡(luò)釣魚網(wǎng)頁(yè)表單提交他們的電子郵件憑據(jù)?！?/p>