Исследователи по безопасности обнаружили новую операцию «фишинг как услуга» под названием Morphing Meerkat. Злоумышленники применяют DNS over HTTPS (DoH) для обхода систем обнаружения, используя MX-записи для определения почтового провайдера жертвы и подгрузки поддельных страниц входа более чем для 114 почтовых провайдеров.
Morphing Meerkat активно работает с 2020 года и обеспечивает полный набор инструментов для масштабных фишинговых атак, не требуя глубинных технических знаний. Платформа рассылает спам через централизованную SMTP-инфраструктуру, где 50% писем исходят от хостинговых провайдеров iomart и HostPapa.
Атакующие могут подделывать почтовые провайдеры, такие как Gmail, Outlook, Yahoo и другие, отправляя сообщения с темами, провоцирующими быстрые действия. Письма могут быть написаны на английском, испанском, русском и китайском языках, а также подделывать имя и адрес отправителя.
Если жертва кликает на вредоносную ссылку, она попадает на фишинговую страницу, где используется комплект, чтобы отправить DNS-запрос к Google или Cloudflare. Это позволяет загрузить поддельную страницу входа с заранее заполненным адресом жертвы.
Введённая информация передаётся злоумышленникам через AJAX-запросы или Telegram-бота. При вводе пароля впервые, жертве выводится сообщение об ошибке, чтобы она повторила ввод, затем перенаправляется на настоящую страницу авторизации для снижения подозрений.
Чтобы противодействовать такой угрозе, специалисты рекомендуют усиленный контроль DNS, блокировку связи с DoH-серверами и ограничение доступа к рекламным и файлообменным платформам. Для подробностей о связанных угрозах и индикаторах компрометации можно обратиться к опубликованному на GitHub списку.