变形猫鼬网络钓鱼工具包瞄准100多个品牌

网络安全公司 Infoblox 报告称，有人发现一个网络钓鱼即服务 (PhaaS) 平台生成的网络钓鱼工具包使用DNS邮件交换 (MX) 记录来提供冒充 100 多个品牌的虚假登录页面。

该平台可能是由名为Morphing Meerkat 的威胁行为者运营的，为用户提供群发垃圾邮件、电子邮件安全系统绕过和混淆等服务。

据Infoblox称，威胁行为者利用广告技术基础设施上的开放重定向漏洞，使用受感染的域发送网络钓鱼电子邮件，并通过电子邮件和聊天服务分发被盗凭证。

PhaaS 平台生成并用于攻击大约五年的网络钓鱼工具包表现出一致的行为，表明它们是单一威胁行为者的产物，观察到的活动似乎集中化，主要围绕两家互联网服务提供商 (ISP)：iomart（英国）和 HostPapa（美国）。

Infoblox 发现，Morphing Meerkat 平台使用受感染的 WordPress 网站来重定向受害者，依靠 DNS MX 记录来识别电子邮件服务提供商并动态提供网络钓鱼页面，并将网络钓鱼内容动态翻译成十几种语言。

该网络安全公司指出：“几乎所有 Morphing Meerkat 攻击都以电子邮件用户登录凭证为目标，而 PhaaS 平台的开发人员似乎专门为此类活动设计了它。”

该活动可能始于 2020 年 1 月左右，欺骗了 Gmail、Outlook、AOL、Office 365 和 Yahoo，此后发生了重大发展，现在可以动态加载欺骗 114 个不同品牌的网页模板。

Morphing Meerkat 的 PhaaS 平台一直以全球范围内的互联网用户为目标，依靠 JavaScript 翻译模块将文本转换为受害者的浏览器语言。受害者包括金融服务软件公司的高级专业人士。

钓鱼邮件会显示受害者电子邮件服务提供商的通用图标或图像，部分邮件会冒充物流运输服务或银行机构。钓鱼邮件会使用恐吓策略制造紧迫感，诱使受害者点击其中的链接。

为了逃避检测，网络钓鱼信息包含指向受感染网站、URL 缩短器或免费服务的链接，它们滥用广告技术基础设施进行重定向，并利用 Google 旗下广告网络 DoubleClick 中的开放重定向漏洞。

为了发起有针对性的攻击，该平台会根据电子邮件服务的 DNS MX 记录动态加载 HTML 代码，从而生成极具说服力的钓鱼页面，显示与电子邮件服务一致的内容。此活动使用了 Cloudflare 和 Google DNS over HTTPS (DoH)。

收集的凭证通过电子邮件、网站上的 PHP 脚本、用于远程传输的异步 JavaScript 和 XML (AJAX) 请求或用于通过文本通道进行通信的 Web API 挂钩发送给攻击者。

原文始发于微信公众号（河南等级保护测评）：变形猫鼬网络钓鱼工具包瞄准100多个品牌