网络安全研究人员揭露了一个新的 “网络钓鱼即服务” （PhaaS）平台，该平台利用域名系统（DNS）邮件交换（MX）记录来提供模仿约 114 个品牌的虚假登录页面。

DNS 情报公司 Infoblox 正在追踪这个 “网络钓鱼即服务” 背后的攻击者、其网络钓鱼工具包以及相关活动，并将其命名为 Morphing Meerkat。

Morphing Meerkat 的攻击手法分析

该公司在与 The Hacker News 分享的一份报告中称：“这些攻击活动背后的威胁行为者经常利用广告技术基础设施上的开放式重定向漏洞，侵占域名用于网络钓鱼传播，并通过包括 Telegram 在内的多种机制来分发窃取到的凭据。”

2024 年 7 月，Forcepoint 记录了一场利用该 “网络钓鱼即服务” 工具包进行的攻击活动。在这场活动中，网络钓鱼电子邮件包含指向一个所谓共享文档的链接，收件人点击后会被引导至一个托管在 Cloudflare R2 上的虚假登录页面，最终目的是通过 Telegram 收集并窃取凭据。

据估计，Morphing Meerkat 已发送了数千封垃圾邮件，这些网络钓鱼信息利用被入侵的 WordPress 网站以及Google 旗下的 DoubleClick 等广告平台上的开放式重定向漏洞，绕过了安全过滤器。

它还能够将网络钓鱼内容的文本动态翻译成十多种不同的语言，包括英语、韩语、西班牙语、俄语、德语、中文和日语，以针对全球各地的用户。

Morphing Meerkat独特的攻击技术

除了通过混淆和扩充代码来增加代码可读性的难度外，这些网络钓鱼着陆页还采用了反分析措施，禁止使用鼠标右键点击，以及禁止使用键盘热键组合 Ctrl + S（将网页另存为 HTML 格式）和 Ctrl + U（打开网页源代码）。

但真正让这个威胁行为者与众不同的是，它会使用从 Cloudflare 或 Google 获取的 DNS MX 记录来识别受害者的电子邮件服务提供商（如 Gmail、Microsoft  Outlook 或Yahoo等），并动态地提供虚假登录页面。如果网络钓鱼工具包无法识别 MX 记录，它就会默认显示一个 Roundcube 登录页面。

Infoblox公司表示：“这种攻击方法对恶意行为者来说很有优势，因为它使他们能够通过展示与受害者的电子邮件服务提供商密切相关的网页内容，对受害者进行有针对性的攻击。”

“整体的网络钓鱼体验让人感觉很自然，因为着陆页的设计与垃圾邮件的内容是一致的。这种技术有助于攻击者诱骗受害者通过网络钓鱼网页表单提交他们的电子邮件凭据。”

参考来源：

New Morphing Meerkat Phishing Kit Mimics 114 Brands Using Victims' DNS Email Records