モーフィングミーアキャットフィッシングキット
サイバーセキュリティ研究者は、ドメインネームシステム (DNS) のメール交換 (MX) レコードを悪用して 114 以上のブランドを模倣した偽のログインページを作成する、高度な PhaaS (Phishing-as-a-Service) プラットフォームを発見しました。この操作の背後にいるアクターは、別名 Morphing Meerkat で追跡されており、ユーザーの認証情報を収集するために大規模なフィッシングキャンペーンを行っています。
目次
変形ミーアキャットの仕組み
攻撃者は、フィッシング リンクを配布し、盗んだ認証情報を盗み出すために、次のような複数の戦術を採用しています。
- オープンリダイレクトの悪用:アドテック インフラストラクチャの脆弱性を悪用します。
- ドメインの侵害:ハッキングされた Web サイトはフィッシング コンテンツのホスティングに使用されます。
- Telegram を使用した情報の流出:盗まれた資格情報は Telegram 経由で脅威アクターに送信されます。
2024 年 7 月に記録されたあるキャンペーンでは、共有されていると思われるドキュメントへのリンクを含むフィッシング メールが使用されました。リンクをクリックすると、ユーザーは Cloudflare R2 でホストされている偽のログイン ページに誘導され、そこで認証情報が収集されて攻撃者に送信されました。
巧妙な戦術でセキュリティを回避する
モーフィング ミーアキャットは、セキュリティ防御を回避しながら何千ものフィッシング メールを送信することに成功しました。これは、次の方法で実現されています。
- 侵害された WordPress サイトの活用: 正当だがハッキングされた Web サイトでフィッシング ページをホストします。
- オープン リダイレクトの脆弱性を悪用: Google が所有する DoubleClick などの広告プラットフォームを使用してセキュリティ検出を回避します。
このフィッシング プラットフォームは、コンテンツを英語、韓国語、スペイン語、ロシア語、ドイツ語、中国語、日本語などの複数の言語に動的に翻訳することでその効果を高め、世界中の被害者をターゲットにすることができます。
高度な回避テクニック
Morphing Meerkat は、検出を回避するために、いくつかの分析回避および難読化技術を採用しています。
- コードの難読化とインフレ: フィッシング ページの分析を困難にします。
カスタマイズされたフィッシングにおける DNS MX レコードの役割
Morphing Meerkat が他のフィッシング脅威と異なる点は、DNS MX レコードを使用してフィッシング攻撃をカスタマイズすることです。フィッシング キットは、Cloudflare または Google から MX レコードを取得して、被害者のメール サービス プロバイダー (Gmail、Microsoft Outlook、Yahoo! など) を識別し、一致する偽のログイン ページを表示します。
フィッシング キットが MX レコードを認識できない場合、デフォルトで Roundcube ログイン ページが表示されます。この動的なカスタマイズにより、フィッシング エクスペリエンスが被害者にとってシームレスで本物であるように見えるため、成功の可能性が大幅に高まります。
この攻撃方法が安全でない理由
フィッシング ページを被害者のメール プロバイダーに合わせてカスタマイズできるため、このキャンペーンは特に欺瞞的です。偽のログイン ページが見慣れたもので、巧妙に作成されたフィッシング メールと相まって、ユーザーが知らないうちに認証情報を入力する可能性が高くなります。
DNS ベースのインテリジェンスを活用することで、Morphing Meerkat はフィッシング攻撃を新たなレベルの洗練度に引き上げ、これまで以上に検出が困難で説得力のあるものにしています。サイバーセキュリティの専門家は、その影響を軽減するために、進化する戦術を追跡し、分析し続けています。
