一种复杂的网络钓鱼活动已经出现,它创造性地利用了域名系统(DNS)的邮件交换(MX)记录,能够根据受害者的电子邮件提供商,动态地展示量身定制的虚假登录页面。
这种攻击可以模仿超过 100 个品牌,代表了网络钓鱼技术的重大演进,创建出了极具说服力的仿冒页面,用户很难将其与合法的登录页面区分开来。
这种威胁始于包含恶意链接的垃圾邮件,这些邮件会通过一系列步骤将受害者重定向到网络钓鱼的着陆页面。
这些邮件通常会围绕账户停用或文件交付等事宜使用紧急措辞,诱使用户点击嵌入的超链接。
这些链接通常指向已被攻陷的 WordPress 网站、免费网络托管服务上的欺诈账户,或者利用广告网络上的开放式重定向来绕过电子邮件安全系统。
Infoblox 的研究人员确定了此次活动背后的威胁行为者为 “Morphing Meerkat”,它似乎运营着一个复杂的网络钓鱼即服务(PhaaS)平台。
这一评估是基于自 2020 年 1 月以来在多个活动中观察到的一致的策略、技术和流程得出的。该活动在保持核心基础设施的同时,不断发展其攻击能力。
技术实现方式
此次网络钓鱼活动特别危险的地方在于,它能够根据受害者的电子邮件域名,从 114 种不同的特定品牌网络钓鱼模板中选择一个来展示。
网络钓鱼工具包使用来自 Google 或 Cloudflare 的基于 HTTPS 的 DNS(DoH)服务进行 DNS MX 记录查找,这样它无需维护一个庞大的域名映射数据库,就能精确识别受害者的电子邮件服务提供商。
其技术实现依赖于查询公共 DNS 服务的 JavaScript 函数,如下面这个来自网络钓鱼工具包的代码片段所示:
async function getMXRecord(domain) {
try {
const response = await fetch(`https://dns.google/resolve?name=${domain}&type=MX`);
const data = await response.json();
if (data && data.Answer && data.Answer.length > 0) {
const mxRecords = data.Answer.map(record => `${record.data}`).join(‘\n’);
return mxRecords;
} else {
return ‘no-mx’;
}
} catch (error) {
return ‘MX-Error’;
}}
然后,网络钓鱼工具包会将返回的 MX 记录映射到匹配的网络钓鱼模板上,并自动用受害者的电子邮件地址填充用户名字段。
如果受害者提交了他们的凭据,这些数据将通过电子邮件、PHP 脚本、AJAX 请求或像 Telegram 这样的消息平台泄露给攻击者。
为了逃避检测,该工具包采用了多种安全技术,包括代码混淆、键盘监控以防止检查,以及在窃取凭据后智能重定向到合法网站。
发表评论
您还未登录,请先登录。
登录