DNS Posta Exchange (MX) kayıtlarını kurbanların e -posta sağlayıcılarına göre tasarlanmış sahte giriş sayfalarına dinamik olarak sunmak için yaratıcı bir şekilde kullanan gelişmiş bir kimlik avı operasyonu ortaya çıktı.
Saldırı, 100’den fazla markayı taklit edebilir ve kimlik avı tekniklerinde önemli bir evrimi temsil eder ve kullanıcıların meşru giriş sayfalarından ayırt edilmesi zor olan son derece ikna edici taklitler yaratır.
Tehdit, kurbanları kimlik avı açılış sayfasına yönlendiren kötü niyetli bağlantılar içeren spam e -postalarıyla başlar.
.webp)
Bu e -postalar genellikle hesap devre dışı bırakma veya belge teslimatı etrafında acil mesajlar kullanır ve kullanıcıları gömülü köprüleri tıklamaya zorlar.
Bağlantılar genellikle tehlikeye atılan WordPress web sitelerine, ücretsiz web barındırma hizmetlerindeki hileli hesaplara veya e -posta güvenlik sistemlerini atlamak için reklam ağlarındaki açık yönlendirmelerden yararlanır.
Infoblox araştırmacıları, bu operasyonun arkasındaki tehdit oyuncusunu, hizmet olarak sofistike kimlik avı (PHAAS) platformu işletiyor gibi görünen “Morphing Meerkat” olarak tanımladılar.
.webp)
Bu değerlendirme, Ocak 2020’ye kadar uzanan birden fazla kampanyada gözlemlenen tutarlı taktikler, teknikler ve prosedürlere dayanmaktadır. Operasyon, yeteneklerini sürekli olarak geliştirirken temel altyapıyı sürdürmüştür.
Teknik uygulama
Bu kampanyayı özellikle tehlikeli kılan şey, kurbanın e-posta alanına dayanan 114 farklı markaya özgü kimlik avı şablonundan birine hizmet etme yeteneğidir.
Kimlik avı kiti, Google veya CloudFlare üzerinden HTTPS (DOH) hizmetleri üzerinden DNS kullanarak bir DNS MX kayıt araması gerçekleştirerek, kapsamlı bir etki alanı haritalama veritabanı tutmadan kurbanın e -posta servis sağlayıcısını tam olarak tanımlamasına izin verir.
Teknik uygulama, kimlik avı kitinden bu kod snippet’inde görüldüğü gibi genel DNS hizmetlerini sorgulayan JavaScript işlevlerine dayanır:-
async function getMXRecord(domain) {
try {
const response = await fetch(`https://dns.google/resolve?name=${domain}&type=MX`);
const data = await response.json();
if (data && data.Answer && data.Answer.length > 0) {
const mxRecords = data.Answer.map(record => `${record.data}`).join('\n');
return mxRecords;
} else {
return 'no-mx';
}
} catch (error) {
return 'MX-Error';
}
}Kimlik avı kiti daha sonra döndürülen MX kaydını eşleşen bir kimlik avı şablonuyla eşler ve kullanıcı adı alanını otomatik olarak kurbanın e -posta adresiyle doldurur.
Mağdur kimlik bilgilerini gönderirse, veriler e -posta, PHP komut dosyaları, AJAX istekleri veya Telegram gibi mesajlaşma platformları aracılığıyla saldırganlara açıklanır.
Tespitten kaçınmak için Kit, kod gizlemesi, muayeneyi önlemek için klavye izleme ve kimlik hırsızlığı sonrasında meşru web sitelerine akıllı yönlendirmeler dahil olmak üzere birden fazla güvenlik tekniği kullanır.