Morphing Meerkat 是一个复杂的网络钓鱼即服务(PhaaS)平台,于 2020 年首次被发现。它已从一个只能模仿五种电子邮件服务的简单工具,发展成为一个全面的网络犯罪资源平台,提供超过 100 种不同的诈骗模板。
这个平台代表了网络钓鱼方法上的重大进步,它利用先进的域名系统(DNS)侦察技术,根据受害者的电子邮件服务提供商来定制攻击方式。
该恶意软件的核心功能在于它能够动态生成极具说服力的网络钓鱼页面,这些页面与合法的电子邮件服务界面极为相似,极大地提高了窃取凭据操作的成功率。
当毫无防备的用户点击嵌入在 Morphing Meerkat 生成内容中的恶意链接时,该平台会立即开始侦察工作,分析域名信息以精心策划一场量身定制的攻击。
Check Point 的研究人员指出,这个平台特别危险的地方在于它在利用 DNS 方面的技术复杂性。
在分析该平台的运作方式时,他们发现它能够查询电子邮件域名的 DNS 邮件交换(MX)记录,使其能够精确识别目标所使用的特定电子邮件服务提供商。
Morphing Meerkat 的多语言功能和广泛的品牌仿冒特性,给全球各地的组织机构带来了严重的隐患。
随着该平台的不断发展,其网络钓鱼模板库也在不断扩充,这使得用户越来越难以区分合法的登录页面和欺诈性页面。
一旦凭据被窃取,利用这个平台的网络犯罪分子就能够未经授权访问企业网络和敏感信息,这可能会导致数据泄露、经济损失以及声誉受损。
DNS 侦察的技术实现
Morphing Meerkat 之所以有效,其技术基础在于它的 DNS 侦察机制。
当受害者点击恶意链接时,该平台会使用一个简单而有效的 DNS 查找函数,针对域名的 MX 记录执行查询操作:
async function identifyEmailProvider(domain) {
const mxRecords = await dns.resolveMx(domain);
const provider = analyzeMxRecords(mxRecords);
return generatePhishingPage(provider);}
这个函数使该平台能够确定目标用户是否使用 Microsoft 365、Google Workspace 或其他电子邮件服务提供商的服务。
在识别出目标用户所使用的电子邮件服务提供商后,Morphing Meerkat 会采用各种逃避检测的技术,包括开放重定向和代码混淆,以避免被安全工具检测到。
该平台甚至可能会在用户 “认证失败” 后,将其重定向到合法的登录页面,以减少用户的怀疑,营造出一种无缝的欺骗体验,以至于受害者往往在其凭据被盗取之后才会察觉到异常。
建议各组织机构实施强大的 DNS 安全措施、持续的监控系统、全面的员工培训计划以及多层级的网络安全解决方案,以防范这种不断演变的威胁。
发表评论
您还未登录,请先登录。
登录