Peneliti cybersecurity telah menjelaskan platform phishing-as-a-service (PHAAS) baru yang memanfaatkan catatan Sistem Nama Domain (DNS) Mail Exchange (MX) untuk melayani halaman login palsu yang menyamar sebagai sekitar 114 merek.
DNS Intelligence Firm Infellox melacak aktor di belakang Phaas, kit phishing, dan aktivitas terkait di bawah moniker Morphing Meerkat.
“Aktor ancaman di balik kampanye sering mengeksploitasi pengalihan terbuka pada infrastruktur Adtech, mengkompromikan domain untuk distribusi phishing, dan mendistribusikan kredensial curian melalui beberapa mekanisme, termasuk telegram,” kata perusahaan itu dalam laporan yang dibagikan dengan Hacker News.
Salah satu kampanye yang memanfaatkan Toolkit Phaas didokumentasikan oleh Forcpoint pada Juli 2024, di mana email phishing berisi tautan ke dokumen bersama yang diakui yang, ketika diklik, mengarahkan penerima ke halaman login palsu yang di -host di Cloudflare R2 dengan tujuan akhir mengumpulkan dan mengekspriltrasi kredensial melalui telegram.
Morphing Meerkat diperkirakan telah mengirimkan ribuan email spam, dengan pesan phishing menggunakan situs web WordPress yang dikompromikan dan kerentanan pengalihan terbuka pada platform periklanan seperti doubleclick milik Google untuk memotong filter keamanan.
Ini juga mampu menerjemahkan teks konten phishing secara dinamis menjadi lebih dari selusin bahasa yang berbeda, termasuk bahasa Inggris, Korea, Spanyol, Rusia, Jerman, Cina, dan Jepang, untuk menargetkan pengguna di seluruh dunia.
Selain keterbacaan kode yang menyulitkan melalui kebingungan dan inflasi, halaman pendaratan phishing menggabungkan langkah-langkah anti-analisis yang melarang penggunaan klik kanan mouse serta kombinasi hotkey keyboard Ctrl + S (simpan halaman web sebagai HTML), CTRL + U (buka kode sumber halaman web).
Tetapi apa yang membuat aktor ancaman benar -benar menonjol adalah penggunaan catatan DNS MX yang diperoleh dari CloudFlare atau Google untuk mengidentifikasi penyedia layanan email korban (misalnya, Gmail, Microsoft Outlook, atau Yahoo!) dan secara dinamis melayani halaman login palsu. Jika kit phishing tidak dapat mengenali catatan MX, itu default ke halaman login RoundCube.
“Metode serangan ini menguntungkan bagi aktor buruk karena memungkinkan mereka untuk melakukan serangan yang ditargetkan pada para korban dengan menampilkan konten web yang sangat terkait dengan penyedia layanan email mereka,” kata Infeblox. “
“Pengalaman phishing keseluruhan terasa alami karena desain halaman arahan konsisten dengan pesan email spam. Teknik ini membantu aktor menipu korban agar mengirimkan kredensial email mereka melalui formulir web phishing.”
