Siber güvenlik araştırmacıları, yaklaşık 114 markayı taklit eden sahte oturum açma sayfalarına hizmet etmek için alan adı Sistemi (DNS) posta değişiminden (MX) kayıtlardan yararlanan yeni bir Hizmet Olarak Kimlik Yardım (PHAAS) platformuna ışık tuttular.
DNS istihbarat firması Infoblox, Phaas’ın, kimlik avı kitinin ve takma adın altındaki aktivitenin arkasındaki aktörü izliyor Meerkat Morphing.
Hacker News ile paylaşılan bir raporda, “Kampanyaların arkasındaki tehdit oyuncusu genellikle ADTECH altyapısındaki açık yönlendirmelerden yararlanıyor, kimlik avı dağıtım alanlarını tehlikeye atıyor ve çalınan kimlik bilgilerini telgraf dahil çeşitli mekanizmalar aracılığıyla dağıtıyor.” Dedi.
PHAAS araç setinden yararlanan bu tür bir kampanya, kimlik avı e -postalarının, alıcıyı telgrafla toplama ve bunlardan dolayı toplama ve eksfiltrasyon hedefi ile tıklandığında, tıklandığında, tıklandığında, tıklandığında, tıklandığında, alıcıyı Cloudflare R2’de barındırılan sahte bir oturum açma sayfasına yönlendiren ForcePoint tarafından belgelendi.
Morphing Meerkat’ın, güvenliği ihlal edilmiş WordPress web siteleri kullanan ve Google’ın sahip olduğu DoubleClick gibi reklam platformlarında güvenlik filtrelerini atlamak için yönlendirme güvenlik açıklarını açtığı tahmin ediliyor.
Ayrıca, dünyanın dört bir yanındaki kullanıcıları hedeflemek için İngilizce, Korece, İspanyolca, Rusça, Almanca, Çince ve Japonca dahil olmak üzere bir düzineden fazla farklı dile dinamik olarak kimlik avı metnini çevirebilir.
Gizleme ve enflasyon yoluyla kod okunabilirliğini karmaşıklaştırmanın yanı sıra, kimlik avı açılış sayfaları, fare sağ tıklamasının ve klavye hotkey kombinasyonlarının kullanımını yasaklayan anti-analiz önlemlerini içerir Ctrl + S (web sayfasını HTML olarak kaydedin), Ctrl + U (web sayfası kaynak kodunu açın).
Ancak tehdit oyuncusunu gerçekten öne çıkaran şey, kurbanın e -posta servis sağlayıcısını (örn. Gmail, Microsoft Outlook veya Yahoo!) ve dinamik olarak sahte giriş sayfalarına hizmet etmek için Cloudflare veya Google’dan elde edilen DNS MX kayıtlarını kullanmasıdır. Kimlik avı kitinin MX kaydını tanıyamaması durumunda, bir Roundcube Oturum Açma sayfasına varsayılan olarak.
Infoblox, “Bu saldırı yöntemi kötü aktörler için avantajlıdır, çünkü e -posta servis sağlayıcısıyla güçlü bir şekilde ilgili web içeriği göstererek kurbanlara yönelik hedefli saldırıları gerçekleştirmelerini sağlar.” Dedi. “
“Genel kimlik avı deneyimi doğal hissediyor çünkü açılış sayfasının tasarımı SPAM e -postasının mesajı ile tutarlı. Bu teknik, aktörün kurbanın e -posta kimlik bilgilerini kimlik avı web formu aracılığıyla göndermesine yardımcı oluyor.”