Centraal in de werkwijze van Morphing Meerkat staat het gebruik van DNS MX-records om de e-mailprovider van het slachtoffer te identificeren. Op basis daarvan wordt een valse inlogpagina geleverd, afgestemd op de specifieke dienst van de gebruiker. Deze pagina’s worden dynamisch geserveerd via Cloudflare DoH of Google Public DNS, wat de kans op succesvolle gegevensdiefstal aanzienlijk vergroot.
Onderzoekers ontdekten ook dat de verspreiding van spam plaatsvindt vanuit een gecentraliseerd servernetwerk, voornamelijk gehost in het Verenigd Koninkrijk en de Verenigde Staten. De campagne maakt misbruik van open redirect-kwetsbaarheden op betrouwbare advertentieplatformen zoals DoubleClick, evenals van gecompromitteerde WordPress-websites, om beveiligingsfilters voor e-mail te omzeilen.
Sinds de vroege focus op Gmail en Outlook is het platform snel geëvolueerd. Medio 2023 ondersteunt het meer dan 114 merkspecifieke ontwerpen en vertaalt het phishingpagina’s in meerdere talen, waaronder Chinees, Russisch en Spaans.
Voor het verzamelen van inloggegevens worden verschillende methoden gebruikt, zoals EmailJS, PHP-scripts, AJAX-verzoeken en zelfs Telegram-bot-API’s. Daarnaast past het platform anti-analysetechnieken toe zoals het blokkeren van sneltoetsen, het uitschakelen van de rechtermuisknop, codeverduistering en cloaking, wat detectie door beveiligingsonderzoekers bemoeilijkt.
Organisaties wordt sterk aangeraden hun DNS-beveiliging te verbeteren, versleuteld DNS-verkeer te monitoren en toegang tot onnodige diensten te beperken om zich te beschermen tegen deze zich snel ontwikkelende dreiging.
Source: HackRead
De European Cyber Intelligence Forum is een non-profit denktank gespecialiseerd in inlichtingen en cybersecurity en biedt adviesdiensten aan overheidsinstanties. Om potentiële bedreigingen te beperken, is het belangrijk om aanvullende cybersecuritymaatregelen te implementeren met behulp van een betrouwbare partner zoals INFRA www.infrascan.net, of je kunt zelf proberen met check.website.