研究人员最近发现一种名为 Morphing Meerkat 的网络钓鱼即服务 (PhaaS) 操作,它一直在使用 DNS over HTTPS (DoH) 协议来逃避检测。
该平台还利用 DNS 电子邮件交换 (MX) 记录来识别受害者的电子邮件提供商,并为 114 多个品牌动态提供欺骗登录页面。
Morphing Meerkat 自 2020 年以来一直很活跃,它是由Infoblox的安全研究人员发现的。尽管该活动已被部分记录,但多年来它基本上没有引起人们的注意。
Morphing Meerkat 是一个 PhaaS 平台,提供了一套完整的工具包,只需极少的技术知识即可发起有效、可扩展且具有规避性的网络钓鱼攻击。
它采用集中式 SMTP 基础设施来分发垃圾邮件,其中 50% 的追踪电子邮件来自 iomart(英国)和 HostPapa(美国)提供的互联网服务。
该操作可以冒充超过 114 个电子邮件和服务提供商,包括 Gmail、Outlook、Yahoo、DHL、Maersk 和 RakBank,发送带有精心设计的主题行以提示紧急行动的消息,例如“需要采取行动:停用帐户”。
这些电子邮件以多种语言发送,包括英语、西班牙语、俄语甚至中文,并且可以伪造发件人的姓名和地址。
如果受害者点击消息中的恶意链接,他们就会在 Google DoubleClick 等广告技术平台上经历一系列开放重定向攻击,其中经常涉及受感染的 WordPress 网站、虚假域名和免费托管服务。
一旦受害者到达最终目的地,网络钓鱼工具包就会通过 Google 或 Cloudflare 使用 DoH 加载并查询受害者电子邮件域的 MX 记录。
根据结果,该工具包会加载一个虚假的登录页面,并自动填写受害者的电子邮件地址。
一旦受害者输入其凭证,这些凭证就会通过对外部服务器的 AJAX 请求和托管在钓鱼页面上的 PHP 脚本泄露给威胁行为者。还可以使用 Telegram 机器人 webhook 进行实时转发。
首次输入凭证时,会显示一条错误消息“密码无效!请输入正确的电子邮件密码”,让受害者再次输入密码,以确保数据正确。
一旦他们这样做,他们就会被重定向到合法的身份验证页面以减少怀疑。
DoH 和 DNS MX 的使用使得 Morphing Meerkat 从类似的网络犯罪工具中脱颖而出,因为这些先进的技术能够提供显著的运营优势。
DNS over HTTPS(DoH)是一种通过加密的 HTTPS 请求执行 DNS 解析的协议,而不是传统的基于 UDP 的纯文本 DNS 查询。
MX(邮件交换)记录是一种 DNS 记录,它告诉互联网哪个服务器负责处理给定域的电子邮件。
当受害者点击网络钓鱼电子邮件中的链接时,该工具包就会加载到他们的浏览器中,并向 Google 或 Cloudflare 发出 DNS 查询以查找其电子邮件域的 MX 记录。
这可以逃避检测,因为查询发生在客户端,并且使用 DoH 有助于绕过 DNS 监控。
通过从 MX 记录中识别的电子邮件提供商,网络钓鱼工具包可以动态地向受害者提供匹配的网络钓鱼工具包。
Infoblox 表示,针对此类威胁的建议防线之一是加强“DNS 控制,以便用户无法与 DoH 服务器通信或阻止用户访问对业务不重要的广告技术和文件共享基础设施”。
与 Morphing Meerkat 活动相关的完整入侵指标 (IoC) 已在该GitHub 存储库中公开。
原文始发于微信公众号(犀牛安全):网络钓鱼即服务操作使用 DNS-over-HTTPS 进行规避
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/3984847.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论