Инструменты фишинга Morphing Meerkat в Infoblox используются для кражи учетных записей почты. Они отличаются от других тем, что используют MX-записи для определения провайдера цели и адаптации атаки в процессе.
С начала 2020 года киберпреступники используют фишинг-паки Morphing Meerkat для проведения атак. На данный момент они могут подделывать письма от 114 различных почтовых сервисов, и тексты сообщений могут автоматически переводиться на язык, установленный в браузере жертвы.
Платформа Morphing Meerkat позволяет отправлять массовые спам-письма, скрывая имя и адрес отправителя. Чаще всего такие письма предупреждают о проблемах с почтовым аккаунтом, иногда они могут выдаваться за уведомления от банков или логистических компаний.
Для проведения атак используются серверы нескольких интернет-провайдеров, а ссылки в письмах могут перенаправлять жертв на различные сайты с уязвимостями.
Для поиска MX-записей используются сервисы Cloudflare DoH и Google Public DNS, после чего загружается соответствующий фишинговый файл HTML. После ввода информации в форму фишинга жертву перенаправляют на настоящую страницу входа, чтобы избежать подозрений.
Для защиты от анализа код обфусцируется, а на фишинговых страницах запрещено использование правой кнопки мыши и горячих клавиш для сохранения или просмотра исходного кода страниц.
Последние годы наблюдается увеличение популярности сервисов PhaaS среди киберпреступников. Недавно была запущена новая фишинг-платформа Licid, которая также позволяет проводить атаки на владельцев iPhone и Android-устройств.
© KiberSec.ru – 01.04.2025, обновлено 01.04.2025
Перепечатка материалов сайта возможна только с разрешения администрации KiberSec.ru.
