Pesquisadores de cibersegurança revelaram detalhes sobre uma nova plataforma de phishing como serviço (PhaaS) que utiliza os registros de troca de correio (MX) do Sistema de Nomes de Domínios (DNS) para servir páginas falsas de login que se passam por cerca de 114 marcas.
A empresa de inteligência de DNS, Infoblox, está monitorando o ator por trás do PhaaS, o kit de phishing e a atividade relacionada sob o codinome Morphing Meerkat.
"O ator de ameaça por trás das campanhas muitas vezes explora redirecionamentos abertos na infraestrutura de adtech, compromete domínios para distribuição de phishing e distribui credenciais roubadas por vários mecanismos, incluindo Telegram", disse a empresa em um relatório compartilhado.
Uma dessas campanhas que utilizam o conjunto de ferramentas PhaaS foi documentada pela Forcepoint em julho de 2024, onde e-mails de phishing continham links para um suposto documento compartilhado que, ao ser clicado, direcionava o destinatário para uma página de login falsa hospedada no Cloudflare R2 com o objetivo final de coletar e exfiltrar as credenciais via Telegram.
Estima-se que Morphing Meerkat tenha entregue milhares de e-mails de spam, com as mensagens de phishing utilizando sites WordPress comprometidos e vulnerabilidades de redirecionamento aberto em plataformas de publicidade como o DoubleClick, de propriedade do Google, para contornar os filtros de segurança.
Também é capaz de traduzir o texto do conteúdo de phishing dinamicamente para mais de uma dúzia de idiomas diferentes, incluindo inglês, coreano, espanhol, russo, alemão, chinês e japonês, para atingir usuários em todo o mundo.
Além de complicar a legibilidade do código por meio de ofuscação e inflação, as páginas de destino do phishing incorporam medidas anti-análise que proíbem o uso do clique direito do mouse, bem como combinações de teclas de atalho Ctrl + S (salvar a página da web como HTML), Ctrl + U (abrir o código fonte da página da web).
Mas o que realmente faz o ator de ameaça se destacar é o uso de registros MX do DNS obtidos do Cloudflare ou do Google para identificar o provedor de serviço de e-mail da vítima (por exemplo, Gmail, Microsoft Outlook ou Yahoo!) e servir dinamicamente páginas falsas de login.
Caso o kit de phishing não consiga reconhecer o registro MX, ele retorna para uma página de login do Roundcube.
"Este método de ataque é vantajoso para os atores mal-intencionados porque permite que eles realizem ataques direcionados às vítimas exibindo conteúdo da web fortemente relacionado ao seu provedor de serviço de e-mail", disse a Infoblox.
A experiência geral de phishing parece natural porque o design da página de destino é consistente com a mensagem do e-mail de spam.
Esta técnica ajuda o ator a enganar a vítima para submeter suas credenciais de e-mail através do formulário web de phishing.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...