En el núcleo de la estrategia de Morphing Meerkat se encuentra el uso de registros MX DNS para identificar el proveedor de correo electrónico de la víctima. Luego, la plataforma sirve una página de inicio de sesión falsa, personalizada entre más de 100 marcas falsificadas, adaptada al servicio específico del usuario. Estas páginas se entregan dinámicamente utilizando Cloudflare DoH o Google Public DNS, lo que incrementa significativamente el éxito del robo de credenciales.
Los investigadores también descubrieron que la distribución de spam proviene de una red de servidores centralizados, principalmente alojados en el Reino Unido y Estados Unidos. La campaña aprovecha fallos de redirección abierta en plataformas publicitarias confiables como DoubleClick y sitios WordPress comprometidos para evadir los filtros de seguridad del correo electrónico.
Desde sus inicios atacando a servicios como Gmail y Outlook, la plataforma se ha expandido rápidamente. A mediados de 2023, ya soportaba más de 114 diseños de marcas y traducciones en múltiples idiomas, incluyendo chino, ruso y español.
El robo de credenciales se ejecuta mediante EmailJS, scripts PHP, peticiones AJAX e incluso APIs de bots de Telegram. Las medidas anti-análisis como el bloqueo del teclado y del clic derecho, la ofuscación del código y técnicas de ocultamiento dificultan la detección incluso por parte de investigadores experimentados.
Se insta a las organizaciones a reforzar sus protecciones DNS, monitorear el tráfico DNS cifrado y limitar el acceso a servicios innecesarios para defenderse de esta amenaza en constante evolución.
Source: HackRead
El European Cyber Intelligence Forum es un think tank sin fines de lucro especializado en inteligencia y ciberseguridad, que ofrece servicios de consultoría a entidades gubernamentales. Para mitigar posibles amenazas, es importante implementar medidas adicionales de ciberseguridad con la ayuda de un socio de confianza como INFRA www.infrascan.net, o puedes intentarlo tú mismo usando check.website.