Infoblox Threat Intel hat eine ausgeklügelte Phishing-as-a-Service-Plattform (PhaaS) enttarnt, die eine ernstzunehmende Gefahr für Unternehmen auf der ganzen Welt darstellt. Der Bedrohungsakteur hinter diesen Phishing-Kampagnen, vom Team „Morphing Meerkat“ genannt, nutzt DNS-Mail-Exchange-Records (MX), um Login-Seiten von mehr als 100 Marken nachzuahmen und gezielt Zugangsdaten zu stehlen.
Sobald ein Opfer auf einen Phishing-Link klickt, fragt das Phishing-Kit den MX-Record der E-Mail-Domain des Opfers ab, um den verwendeten Service-Provider zu ermitteln. Auf dieser Basis wird in Echtzeit eine gefälschte Login-Seite generiert, die dem tatsächlichen Anmeldeportal des jeweiligen Anbieters täuschend echt nachempfunden ist.
Die Besonderheit: Morphing Meerkat nutzt Konfigurationen, die eigentlich für andere, legitime Zwecke gedacht sind, als Grundlage für personalisierte Phishing-Angriffe. Es handelt sich um eine Art „Living-off-the-Land“-Technik in der DNS-Version, bei der sich Angreifer geschickt an bestehende IT-Infrastrukturen anlehnen, um unter dem Radar zu bleiben.
Morphing Meerkat ist ein ausgeklügeltes Phishing-Kit, das Cyberkriminellen eine Reihe von Möglichkeiten bietet:
- Diebstahl von Login-Daten: Hat ein Opfer einmal seine Anmeldedaten auf der gefälschten Seite eingegeben, stiehlt Morphing Meerkat diese Daten und sendet sie an die Cyberkriminellen.
- Umleitungen: Um keinen Verdacht zu wecken, leitet das Phishing-Kit die Opfer nach einigen gescheiterten Login-Versuchen zur echten Anmeldeseite des Mail-Providers weiter.
- Globale Reichweite: Das Phishing-Kit kann die gefälschten Login-Seiten in zahlreiche Sprachen übersetzen und somit Nutzer auf der ganzen Welt ins Visier nehmen.
- Individualisierte Fallen: Durch die dynamische Anpassung der Fake-Seite anhand des MX-Records wirkt der Angriff besonders überzeugend.
- Verschleierung: Die Plattform nutzt verschiedene Techniken, um traditionelle Sicherheitssysteme zu umgehen und nicht erkannt zu werden. Darunter Open Redirects auf Adtech-Server und das Verschleiern von Code, um die Analyse zu erschweren.
- Skalierbarkeit: Als PhaaS-Plattform ermöglicht Morphing Meerkat auch technisch weniger versierten Angreifern, großangelegte Phishing-Kampagnen zu starten und so eine massive Bedrohung darzustellen.
Wenn Cyberkriminelle durch einen Phishing-Scam wie Morphing Meerkat in den Besitz von Login-Daten geraten, kann dies insbesondere für Unternehmen dramatische Folgen haben. Angreifer erhalten mit diesen potenziell Zugang zu Netzwerken, sensiblen Daten und Systemen – und können weitere Angriffe aus dem Unternehmensumfeld heraus starten.
Dies kann zu enormen finanziellem Schaden, Reputationsverlust und rechtlichen Konsequenzen für die Unternehmen führen. Darüber hinaus können Angreifer über kompromittierte Konten gezielt Phishing-Mails an Mitarbeitende oder Kunden versenden – und so ihre Angriffe noch effizienter weiterführen und weitreichenden Schaden verursachen.
Transparenz und Sichtbarkeit sind essentiell für die Sicherheit von Unternehmen. Morphing Meerkat ist ein gutes Beispiel dafür, wie Cyberkriminelle blinde Flecken in der IT-Sicherheit mit fortgeschrittenen Angriffstaktiken wie DNS-Cloaking und Open Redirects ausnutzen. Organisationen können sich gegen diese Art von Angriffen schützen, indem sie den Schutz ihres DNS verbessern.
Das beinhaltet eine strengere DNS-Kontrolle, damit Nutzer nicht mit DoH-Servern kommunizieren können. Auch das Blockieren des Zugangs zu Adtech und Filesharing-Infrastruktur, die nicht für das Geschäft benötigt wird, kann ein sinnvoller Ansatz sein. Denn wer unnötige Dienste konsequent aus dem Netzwerk entfernt, entzieht Angreifern die Grundlage für viele ihrer Einfallstore.