Im Zentrum der Strategie von Morphing Meerkat steht der Einsatz von DNS-MX-Einträgen, um den E-Mail-Dienstanbieter des Opfers zu erkennen. Daraufhin wird eine gefälschte Login-Seite aus einem Pool von über 100 Markenimitationen ausgeliefert, individuell angepasst an den jeweiligen Anbieter. Diese Seiten werden dynamisch über Cloudflare DoH oder Google Public DNS bereitgestellt, was die Erfolgsquote beim Diebstahl von Zugangsdaten deutlich erhöht.
Forscher fanden zudem heraus, dass der Spam-Versand von einem zentralisierten Servernetzwerk ausgeht, das größtenteils im Vereinigten Königreich und in den USA gehostet wird. Die Kampagne nutzt Schwachstellen bei offenen Weiterleitungen auf vertrauenswürdigen Werbeplattformen wie DoubleClick sowie kompromittierte WordPress-Websites, um E-Mail-Sicherheitsfilter zu umgehen.
Seit den Anfängen mit Fokus auf Gmail und Outlook hat sich die Plattform rasant weiterentwickelt. Mitte 2023 unterstützte sie bereits über 114 Marken-Designs und bot Übersetzungen in zahlreiche Sprachen an, darunter Chinesisch, Russisch und Spanisch.
Die gestohlenen Anmeldedaten werden über verschiedene Methoden gesammelt, darunter EmailJS, PHP-Skripte, AJAX-Anfragen und sogar Telegram-Bot-APIs. Zusätzlich kommen Anti-Analyse-Techniken wie das Blockieren von Tastenkombinationen und Rechtsklicks, Code-Obfuskation und Tarnmechanismen zum Einsatz, um die Erkennung selbst durch erfahrene Sicherheitsforscher zu erschweren.
Organisationen wird dringend geraten, ihre DNS-Sicherheit zu stärken, verschlüsselten DNS-Verkehr zu überwachen und den Zugriff auf nicht benötigte Dienste zu beschränken, um sich gegen diese sich ständig weiterentwickelnde Bedrohung zu schützen.
Source: HackRead
Das European Cyber Intelligence Forum ist ein gemeinnütziger Think Tank, der sich auf Geheimdienste und Cybersicherheit spezialisiert hat und Beratungsdienste für Regierungsbehörden anbietet. Um potenzielle Bedrohungen zu mindern, ist es wichtig, zusätzliche Cybersicherheitsmaßnahmen mit Hilfe eines vertrauenswürdigen Partners wie INFRA www.infrascan.net umzusetzen, oder Sie können es selbst versuchen mit check.website.