Sobald ein Opfer auf einen Phishing-Link klickt, fragt das Phishing-Kit den MX-Record der E-Mail-Domain des Opfers ab, um den verwendeten Service-Provider zu ermitteln. Auf dieser Basis wird in Echtzeit eine gefälschte Login-Seite generiert, die dem tatsächlichen Anmeldeportal des jeweiligen Anbieters täuschend echt nachempfunden ist. Die Besonderheit: Morphing Meerkat nutzt Konfigurationen, die eigentlich für andere, legitime Zwecke gedacht sind, als Grundlage für personalisierte Phishing-Angriffe. Es handelt sich um eine Art „Living-off-the-Land“-Technik in der DNS-Version, bei der sich Angreifer geschickt an bestehende IT-Infrastrukturen anlehnen, um unter dem Radar zu bleiben.
Morphing Meerkat bietet Cyberkriminellen Reihe von Möglichkeiten
Diebstahl von Login-Daten
Hat ein Opfer einmal seine Anmeldedaten auf der gefälschten Seite eingegeben, stiehlt Morphing Meerkat diese Daten und sendet sie an die Cyberkriminellen.
Umleitungen
Um keinen Verdacht zu wecken, leitet das Phishing-Kit die Opfer nach einigen gescheiterten Login-Versuchen zur echten Anmeldeseite des Mail-Providers weiter.
Globale Reichweite
Das Phishing-Kit kann die gefälschten Login-Seiten in zahlreiche Sprachen übersetzen und somit Nutzer auf der ganzen Welt ins Visier nehmen.
Individualisierte Fallen
Durch die dynamische Anpassung der Fake-Seite anhand des MX-Records wirkt der Angriff besonders überzeugend.
Verschleierung
Die Plattform nutzt verschiedene Techniken, um traditionelle Sicherheitssysteme zu umgehen und nicht erkannt zu werden. Darunter Open Redirects auf Adtech-Server und das Verschleiern von Code, um die Analyse zu erschweren.
Skalierbarkeit
Als PhaaS-Plattform ermöglicht Morphing Meerkat auch technisch weniger versierten Angreifern, großangelegte Phishing-Kampagnen zu starten und so eine massive Bedrohung darzustellen.
Wenn Cyberkriminelle durch einen Phishing-Scam wie Morphing Meerkat in den Besitz von Login-Daten geraten, kann dies insbesondere für Unternehmen dramatische Folgen haben. Angreifer erhalten mit diesen potenziell Zugang zu Netzwerken, sensiblen Daten und Systemen – und können weitere Angriffe aus dem Unternehmensumfeld heraus starten. Dies kann zu enormen finanziellem Schaden, Reputationsverlust und rechtlichen Konsequenzen für die Unternehmen führen. Darüber hinaus können Angreifer über kompromittierte Konten gezielt Phishing-Mails an Mitarbeitende oder Kunden versenden – und so ihre Angriffe noch effizienter weiterführen und weitreichenden Schaden verursachen.
Organisationen können sich gegen diese Art von Angriffen schützen, indem sie den Schutz ihres DNS verbessern. Das beinhaltet eine strengere DNS-Kontrolle, damit Nutzer nicht mit DoH-Servern kommunizieren können. Auch das Blockieren des Zugangs zu Adtech und Filesharing-Infrastruktur, die nicht für das Geschäft benötigt wird, kann ein sinnvoller Ansatz sein. Denn wer unnötige Dienste konsequent aus dem Netzwerk entfernt, entzieht Angreifern die Grundlage für viele ihrer Einfallstore.
Kommentare