Una operación de phishing como servicio (PhaaS) recientemente descubierta, denominada Morphing Meerkat por los investigadores, ha estado utilizando el protocolo DNS sobre HTTPS (DoH) para evadir la detección.
La plataforma también aprovecha los registros de intercambio de correo electrónico (MX) de DNS para identificar a los proveedores de correo electrónico de las víctimas y para mostrar dinámicamente páginas de inicio de sesión falsas para más de 114 marcas.
Morphing Meerkat ha estado activa desde al menos 2020 y fue descubierta por investigadores de seguridad de Infoblox. Aunque la actividad ha sido parcialmente documentada, pasó desapercibida durante años.
Operación de phishing a gran escala
Morphing Meerkat es una plataforma PhaaS que ofrece un conjunto completo de herramientas para lanzar ataques de phishing efectivos, escalables y evasivos que requieren conocimientos técnicos mínimos.
Cuenta con una infraestructura SMTP centralizada para distribuir correos electrónicos no deseados; el 50% de los correos electrónicos rastreados provienen de servicios de internet proporcionados por iomart (Reino Unido) y HostPapa (EE.UU.). La operación puede suplantar la identidad de más de 114 proveedores de correo electrónico y servicios, como Gmail, Outlook, Yahoo, DHL, Maersk y RakBank, enviando mensajes con asuntos diseñados para solicitar una acción urgente, como "Reconfirmación de titularidad de la cuenta".
Los correos electrónicos se envían en varios idiomas, como inglés, español, ruso e incluso chino, y pueden falsificar los nombres y direcciones de los remitentes.
Si la víctima hace clic en el enlace malicioso del mensaje, se somete a una cadena de exploits de redireccionamiento abierto en plataformas de tecnología publicitaria como Google DoubleClick, que a menudo involucran sitios web de WordPress comprometidos, dominios falsos y servicios de alojamiento gratuitos.
Una vez que la víctima llega al destino final, el kit de phishing carga y consulta el registro MX del dominio de correo electrónico de la víctima mediante DoH a través de Google o Cloudflare. Según el resultado, el kit carga una página de inicio de sesión falsa con la dirección de correo electrónico de la víctima completada automáticamente.
Una vez que la víctima introduce sus credenciales, estas se filtran a los actores de amenazas mediante solicitudes AJAX a servidores externos y scripts PHP alojados en las páginas de phishing. También es posible el reenvío en tiempo real mediante webhooks de bots de Telegram.
Al introducir las credenciales por primera vez, se muestra un mensaje de error con el mensaje "¡Contraseña inválida! Por favor, introduzca el correo electrónico y la contraseña correcta" para que la víctima vuelva a escribir la contraseña y así comprobar que los datos son correctos.
Una vez hecho esto, se le redirige a la página de autenticación legítima para reducir las sospechas.
.jpg)
DoH y DNS MX
El uso de DoH y DNS MX distingue a Morphing Meerkat de otras herramientas similares, ya que se trata de técnicas avanzadas que ofrecen importantes ventajas operativas.
DNS sobre HTTPS (DoH) es un protocolo que realiza la resolución de DNS mediante solicitudes HTTPS cifradas, en lugar de las tradicionales consultas DNS basadas en UDP en texto plano.
Un registro MX (Mail Exchange) es un tipo de registro DNS que indica a internet qué servidor gestiona el correo electrónico de un dominio determinado.
Cuando la víctima hace clic en un enlace de un correo electrónico de phishing, el kit se carga en su navegador y realiza una consulta DNS a Google o Cloudflare para encontrar los registros MX de su dominio de correo electrónico.
Esto evade la detección porque la consulta se realiza del lado del cliente y el uso de DoH ayuda a eludir la monitorización de DNS.
Una vez identificado el proveedor de correo electrónico a partir del registro MX, el kit de phishing puede enviar dinámicamente el kit de phishing correspondiente a la víctima.
Una línea de defensa recomendada contra este tipo de amenaza es un control de DNS más estricto para que los usuarios no puedan comunicarse con los servidores de DoH o bloquear el acceso de los usuarios a tecnología publicitaria e infraestructura de intercambio de archivos que no sea crítica para la empresa, según Infoblox.
Los indicadores de compromiso (IoC) completos asociados con la actividad de Morphing Meerkat se publicaron en este repositorio de GitHub.
Fuente: BC