Al centro della strategia di Morphing Meerkat c’è l’uso dei record MX DNS per rilevare il provider email della vittima. La piattaforma genera quindi una falsa pagina di login personalizzata, selezionata da oltre 100 marchi imitati, adattata al servizio email specifico dell’utente. Queste pagine vengono servite dinamicamente attraverso Cloudflare DoH o Google Public DNS, aumentando drasticamente l’efficacia del furto di credenziali.
I ricercatori hanno scoperto che la distribuzione di spam proviene da una rete centralizzata di server, principalmente ospitati nel Regno Unito e negli Stati Uniti. La campagna sfrutta vulnerabilità di open redirect in piattaforme pubblicitarie fidate come DoubleClick e siti WordPress compromessi per aggirare i filtri di sicurezza delle email.
Dai suoi inizi con obiettivi limitati come Gmail e Outlook, la piattaforma si è rapidamente espansa. A metà 2023, supportava oltre 114 design di marchi e traduzioni in diverse lingue, tra cui cinese, russo e spagnolo.
Il furto di credenziali avviene tramite EmailJS, script PHP, richieste AJAX e persino API bot di Telegram. Misure anti-analisi come il blocco della tastiera e del tasto destro del mouse, l’offuscamento del codice e tecniche di cloaking rendono il rilevamento difficile anche per i ricercatori più esperti.
Alle organizzazioni si consiglia di rafforzare le protezioni DNS, monitorare il traffico DNS crittografato e limitare l’accesso a servizi non essenziali per difendersi da questa minaccia in continua evoluzione.
Source: HackRead
L’European Cyber Intelligence Forum è un think tank no-profit specializzato in intelligence e sicurezza informatica, che offre servizi di consulenza agli enti governativi. Per mitigare potenziali minacce, è importante implementare ulteriori misure di sicurezza informatica con l’aiuto di un partner affidabile come INFRA www.infrascan.net, oppure puoi provare tu stesso utilizzando check.website.