Kit de phishing Morphing Meerkat

Investigadores de ciberseguridad han descubierto una sofisticada plataforma de phishing como servicio (PhaaS) que explota los registros de intercambio de correo (MX) del Sistema de Nombres de Dominio (DNS) para crear páginas de inicio de sesión falsas que imitan a más de 114 marcas. El actor responsable de esta operación, rastreado bajo el alias Morphing Meerkat, ha estado participando en campañas de phishing a gran escala para obtener credenciales de usuario.

Cómo opera el suricato morfante

Los atacantes emplean diversas tácticas para distribuir enlaces de phishing y extraer credenciales robadas. Estas incluyen:

• Explotación de redirecciones abiertas: se aprovechan de las vulnerabilidades en la infraestructura de adtech.
• Dominios comprometidos: los sitios web pirateados se utilizan para alojar contenido de phishing.
• Uso de Telegram para exfiltración: las credenciales robadas se envían a actores de amenazas a través de Telegram.

Una campaña documentada de julio de 2024 incluía correos electrónicos de phishing con enlaces a un supuesto documento compartido. Al hacer clic en el enlace, los usuarios eran redirigidos a una página de inicio de sesión falsa alojada en Cloudflare R2, donde se extraían sus credenciales y se enviaban a los atacantes.

Evitar la seguridad con tácticas inteligentes

El Morphing Meerkat ha enviado con éxito miles de correos electrónicos de phishing, eludiendo las defensas de seguridad. Lo consigue mediante:

• Aprovechar sitios de WordPress comprometidos : alojar páginas de phishing en sitios web legítimos pero pirateados.
• Explotación de vulnerabilidades de redireccionamiento abierto : uso de plataformas publicitarias como DoubleClick, propiedad de Google, para evadir la detección de seguridad.

La plataforma de phishing también mejora su eficacia al traducir dinámicamente el contenido a varios idiomas, incluidos inglés, coreano, español, ruso, alemán, chino y japonés, lo que le permite dirigirse a víctimas de todo el mundo.

Técnicas avanzadas de evasión

El suricato morfante emplea varias técnicas de antianálisis y ofuscación para evadir la detección:

• Ofuscación e inflación de código : hace que las páginas de phishing sean más difíciles de analizar.
• Deshabilitar el clic derecho y las teclas de acceso rápido: evita que los investigadores de seguridad vean o guarden rápidamente el código fuente de la página de phishing.

El papel de los registros MX de DNS en el phishing personalizado

Lo que distingue a Morphing Meerkat de otras amenazas de phishing es que usa registros MX de DNS para personalizar los ataques. Este kit de phishing obtiene registros MX de Cloudflare o Google para identificar el proveedor de correo electrónico de la víctima (como Gmail, Microsoft Outlook o Yahoo!) y luego muestra una página de inicio de sesión falsa.

Si el kit de phishing no reconoce el registro MX, muestra por defecto una página de inicio de sesión de Roundcube. Esta personalización dinámica aumenta significativamente las probabilidades de éxito, ya que hace que la experiencia de phishing parezca fluida y auténtica para las víctimas.

Por qué este método de ataque no es seguro

La posibilidad de adaptar las páginas de phishing al proveedor de correo electrónico de la víctima hace que esta campaña sea especialmente engañosa. La familiaridad de la página de inicio de sesión falsa, sumada a un correo electrónico de phishing bien diseñado, aumenta las probabilidades de que un usuario ingrese sus credenciales sin saberlo.

Al aprovechar la inteligencia basada en DNS, Morphing Meerkat eleva los ataques de phishing a un nuevo nivel de sofisticación, haciéndolos más difíciles de detectar y más convincentes que nunca. Expertos en ciberseguridad siguen monitoreando y analizando sus tácticas en evolución para mitigar su impacto.