Siber güvenlik araştırmacıları, DNS Posta Exchange (MX) kayıtlarından yararlanan “Morfing Meerkat” olarak adlandırılan, 100’den fazla markayı taklit eden düzenli kimlik avı sayfalarına hizmet etmek için “Morfing Meerkat” olarak adlandırılan gelişmiş bir Hizmet Olarak Kimlik Avı (PHAAS) platformu keşfettiler.
En az Ocak 2020’den beri faaliyete geçen platform, tespitten kaçınmak ve kimlik avı kampanyalarının etkinliğini en üst düzeye çıkarmak için bir dizi gelişmiş teknik kullanıyor.
DNS istismarı ve dinamik içerik teslimatı
Meerkat’ın operasyonunu değiştirmenin merkezinde, DNS MX Records’un yenilikçi kullanımı var.
Platform, Cloudflare ve Google gibi sağlayıcılardan HTTPS (DOH) hizmetleri üzerinden DNS kullanarak bir kurbanın e -posta etki alanının MX kaydını sorgular.
Daha sonra bu bilgileri, kurbanın e -posta servis sağlayıcısıyla yakından eşleşen ve daha ikna edici ve kişiselleştirilmiş bir kimlik avı deneyimi yaratan bir kimlik avı şablonunu dinamik olarak yüklemek için kullanır.
PHAAS platformu, en az 114 benzersiz e -posta markası ve giriş tasarımından oluşan bir kütüphaneyi korur ve çok çeşitli e -posta hizmetlerini doğru bir şekilde doldurmasına izin verir.
Bu teknik, saldırganların yüksek hedefli kimlik avı kampanyaları ölçekte yapmalarını ve başarılı kimlik hırsızlığı olasılığını artırmasını sağlar.
Kaçma teknikleri ve küresel erişim
Morphing Meerkat, tehdit analizini engellemek ve kimlik avı koruma sistemlerini atlamak için birden fazla güvenlik kaçırma özelliği kullanır.
Rapora göre, bunlar kod gizlemesi, işlevsel olmayan kodla komut dosyası boyutunun enflasyonu ve ADTECH altyapısında açık yönlendirmelerin kullanılması yer alıyor.
Platform ayrıca, çalınan kimlik bilgilerini yaymak için istemci tarafı e-posta kütüphaneleri ve mesajlaşma uygulaması API’lerini kullanır ve algılamayı daha zor hale getirir.
PHAAS işlemi, kimlik avı içeriğini kurbanın tarayıcı ayarlarına dayanan bir düzineden fazla dile dinamik olarak çevirme yeteneğine sahip küresel bir erişime sahiptir.
Bu çok dilli özellik, tehlikeye atılan WordPress sitelerinin kullanımı ve dağıtım için ücretsiz web barındırma hizmetleri ile birleştiğinde, saldırganların dünya çapında kullanıcıları etkili bir şekilde hedeflemelerini sağlar.
Meerkat’ın keşfi, kimlik avı saldırılarının gelişen karmaşıklığını ve gelişmiş DNS güvenlik önlemlerine olan ihtiyacı vurgulamaktadır.
Kuruluşlara güçlü DNS kontrolleri uygulamaları, zorunlu olmayan hizmetlere erişimi sınırlamaları ve kullanıcıları meşru giriş sayfalarını yakından taklit edebilecek kimlik avı denemelerinin riskleri konusunda eğitmeleri tavsiye edilir.
SOC/DFIR ekiplerinden misiniz? -Kötü amaçlı yazılımları, kimlik avı olaylarını analiz edin ve herhangi biriyle canlı erişim sağlayın. Run -> Şimdi ücretsiz başlayın.