Uma operação de phishing-as-a-service (PhaaS) recentemente descoberta, que os pesquisadores chamam de Morphing Meerkat, tem utilizado o protocolo DNS over HTTPS (DoH) para evitar detecção.
A plataforma também se aproveita dos registros DNS de troca de e-mail (MX) para identificar os provedores de e-mail das vítimas e para servir dinamicamente páginas de login falsificadas para mais de 114 marcas.
Morphing Meerkat está ativo desde pelo menos 2020 e foi descoberto por pesquisadores de segurança da Infoblox.
Embora a atividade tenha sido parcialmente documentada, ela passou principalmente despercebida por anos.
Morphing Meerkat é uma plataforma PhaaS que oferece um kit completo para lançar ataques de phishing eficazes, escaláveis e evasivos que requerem conhecimento técnico mínimo.
Ela conta com uma infraestrutura SMTP centralizada para distribuir e-mails spam, com 50% dos e-mails rastreados originando-se de serviços de internet fornecidos pela iomart (Reino Unido) e HostPapa (EUA).
A operação pode se passar por mais de 114 provedores de e-mail e serviços, incluindo Gmail, Outlook, Yahoo, DHL, Maersk e RakBank, entregando mensagens com linhas de assunto elaboradas para provocar uma ação urgente, como "Ação Requerida: Desativação de Conta".
Os e-mails são entregues em vários idiomas, incluindo inglês, espanhol, russo e até chinês, e podem falsificar nomes e endereços de remetentes.
Se a vítima clicar no link malicioso na mensagem, ela passa por uma cadeia de explorações de redirecionamento aberto em plataformas de tecnologia de anúncios como o Google DoubleClick, frequentemente envolvendo sites WordPress comprometidos, domínios falsos e serviços de hospedagem gratuitos.
Uma vez que a vítima chega ao destino final, o kit de phishing é carregado e consulta o registro MX do domínio de e-mail da vítima usando DoH via Google ou Cloudflare.
Com base no resultado, o kit carrega uma página falsa de login com o endereço de e-mail da vítima preenchido automaticamente.
Uma vez que a vítima insere suas credenciais, estas são exfiltradas para os atores da ameaça via solicitações AJAX para servidores externos e scripts PHP hospedados nas páginas de phishing.
O encaminhamento em tempo real usando webhooks do bot do Telegram também é possível.
Ao inserir as credenciais pela primeira vez, uma mensagem de erro dizendo “Senha Inválida.! Por favor, insira a senha correta do e-mail” é exibida para fazer a vítima digitar a senha novamente, assegurando assim que os dados estejam corretos.
Depois disso, elas são redirecionadas para a página legítima de autenticação para reduzir a suspeita.
O uso de DoH e DNS MX faz o Morphing Meerkat se destacar de ferramentas similares de cybercrime, pois estas são técnicas avançadas que oferecem benefícios operacionais significativos.
O DNS over HTTPS (DoH) é um protocolo que realiza a resolução de DNS via solicitações HTTPS criptografadas, em vez de consultas DNS baseadas em UDP em texto simples.
Um registro MX (Mail Exchange) é um tipo de registro DNS que indica à internet qual servidor lida com o e-mail para um dado domínio.
Quando a vítima clica em um link em um e-mail de phishing, o kit é carregado em seu navegador e faz uma consulta DNS ao Google ou Cloudflare para encontrar os registros MX de seu domínio de e-mail.
Isso evita a detecção porque a consulta acontece do lado do cliente e o uso de DoH ajuda a contornar o monitoramento de DNS.
Com o provedor de e-mail identificado a partir do registro MX, o kit de phishing pode então servir dinamicamente o kit de phishing correspondente à vítima.
Uma linha de defesa recomendada contra esse tipo de ameaça é um controle mais rigoroso do "DNS para que os usuários não possam se comunicar com servidores DoH ou bloqueando o acesso do usuário à infraestrutura de adtech e compartilhamento de arquivos não críticos para o negócio", diz a Infoblox.
Os indicadores completos de comprometimento (IoC) associados à atividade do Morphing Meerkat foram publicados neste repositório no GitHub.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...