Aanvallers imiteren ruim 100 merken voor diefstal inloggegevens

Hiervoor waarschuwt Infoblox Threat Intel, dat de aanvaller achter de campagne 'Morphing Meerkat' noemt. Wanneer een slachtoffer op een phishing-link klikt, checkt de phishing-tool het MX-record van het e-maildomein van het slachtoffer om zo hun e-mailprovider te bepalen. Op basis van dit MX-record wordt het slachtoffer doorgesluisd naar een inlogpagina die lijkt op de echte inlogpagina van de e-mailprovider.

Een praktijkvoorbeeld: Stel je ontvangt een phishing-mail, zogenaamd uit naam van een pakketbezorger. De link stuurt je naar een neppagina, waar je wordt gevraagd om je e-mailadres te authenticeren. Dat authenticatievenster ziet er vertrouwd uit, volledig in de stijl van je e-mailprovider. Zelfs je e-mailadres wordt automatisch ingevoerd. Maar zodra je je wachtwoord invult, is het game over.

Doorgestuurd naar echte inlogpagina

Zodra slachtoffers hun inloggegevens invoeren op de neppagina, steelt Morphing Meerkat de gegevens en stuurt deze door naar de cybercriminelen. Om te voorkomen dat de phishing-aanval wordt gespot, wordt het slachtoffer na enkele ‘mislukte inlogpogingen’ vaak doorgestuurd naar de echte inlogpagina van hun e-mailprovider. De phishing-tool kan de malafide inlogpagina's vertalen naar meerdere talen, zodat wereldwijd slachtoffers kunnen worden getarget.

Het gebruik van MX-records om slachtoffers dynamisch op maat gemaakte phishing-pagina’s voor te schotelen, maakt phishing-pogingen overtuigender. Het platform maakt gebruik van verschillende technieken om traditionele beveiligingssystemen te omzeilen, zoals het gebruik van open redirects op adtech-servers en obfuscatie van code om analyses te bemoeilijken.

Als PhaaS platform stelt Morphing Meerkat ook niet-technische cybercriminelen in staat om grootschalige phishing-campagnes te lanceren, wat deze tool een stuk gevaarlijker maakt.

Impact op organisaties kan groot zijn

Wanneer cybercriminelen inloggegevens verkrijgen via phishing-tools zoals Morphing Meerkat, kan dit ernstige impact hebben op organisaties. Met deze gegevens kunnen criminelen zich namelijk toegang verschaffen tot netwerken, gevoelige gegevens stelen en verdere aanvallen uitvoeren. Dit kan leiden tot aanzienlijke financiële schade, reputatieschade en juridische gevolgen. Bovendien kunnen gecompromitteerde accounts worden gebruikt om phishing e-mails naar andere werknemers of klanten te sturen, waardoor de aanval verder kan uitbreiden.

Verbetering in netwerkzichtbaarheid en -monitoring zijn essentieel om organisaties te beschermen tegen PhaaS zoals Morphing Meerkat, die gebruikmaken van veelvoorkomende blinde vlekken met behulp van geavanceerde technieken zoals DNS-cloaking en open redirects. Organisaties kunnen zichzelf tegen dit soort aanvallen beschermen door DNS beveiliging aan hun systemen toe te voegen. Dit omvat het aanscherpen van DNS controles zodat gebruikers niet kunnen communiceren met externe DoH-servers (DNS over HTTPS). Ook kun je zo de toegang blokkeren tot adtech-infrastructuur. Wanneer organisaties hiermee het aantal niet-kritieke diensten in hun netwerk kunnen verkleinen, nemen ze ook opties weg voor cybercriminelen om hun netwerk aan te vallen.

Meer informatie is hier te vinden.