Infoblox Threat Intel deelt inzichten over nieuwe cybercrime dienst: Phishing-as-a-Service
Infoblox Threat Intel heeft een zeer geavanceerd wereldwijd Phishing-as-a-Service (PhaaS) platform ontdekt dat een aanzienlijke bedreiging vormt voor bekende merken. Dit is de eerste keer dat een organisatie is ontdekt die dit soort technieken gebruikt om detectie te omzeilen. De dreigingsactor achter deze campagnes heeft de codenaam “Morphing Meerkat” gekregen en gebruikt op creatieve wijze DNS mail exchange (MX)-records om gebruikers naar nagemaakte inlogpagina’s te sturen. Ruim 100 merken worden op deze manier misbruikt om inloggegevens te stelen.
Wanneer een slachtoffer op een phishing-link klikt, checkt de phishing-tool het MX-record van het e-maildomein van het slachtoffer om zo hun e-mailprovider te bepalen. Op basis van dit MX-record wordt het slachtoffer doorgesluisd naar een inlogpagina die lijkt op de echte inlogpagina van de e-mailprovider.
Een praktijkvoorbeeld: Stel je ontvangt een phishing-mail, zogenaamd uit naam van een pakketbezorger. De link stuurt je naar een neppagina, waar je wordt gevraagd om je e-mailadres te authenticeren. Dat authenticatievenster ziet er vertrouwd uit, volledig in de stijl van je e-mailprovider. Zelfs je e-mailadres wordt automatisch ingevoerd. Maar zodra je je wachtwoord invult, is het game over.
Het wordt criminelen voortaan makkelijk gemaakt
Morphing Meerkat is een geavanceerde phishing-tool die cybercriminelen verschillende voordelen biedt:
Diefstal van inloggegevens: Zodra slachtoffers hun inloggegevens invoeren op de neppagina, steelt Morphing Meerkat de gegevens en stuurt deze door naar de cybercriminelen.
Omleiding: Om te voorkomen dat de phishing-aanval wordt gespot, wordt het slachtoffer na enkele ‘mislukte inlogpogingen’ vaak doorgestuurd naar de echte inlogpagina van hun e-mailprovider.
Wereldwijd bereik: De phishing-tool kan de malafide inlogpagina’s vertalen naar meerdere talen, zodat wereldwijd slachtoffers kunnen worden getarget.
Personalisatie: Het gebruik van MX-records om slachtoffers dynamisch op maat gemaakte phishing-pagina’s voor te schotelen, maakt phishing-pogingen een stuk overtuigender.
Moeilijk te detecteren: Het platform maakt gebruik van verschillende technieken om traditionele beveiligingssystemen te omzeilen, zoals het gebruik van open redirects op adtech-servers en obfuscatie van code om analyses te bemoeilijken.
Schaalbaarheid: Als PhaaS platform stelt Morphing Meerkat zelfs niet-technische cybercriminelen in staat om grootschalige phishing-campagnes te lanceren, wat deze tool een stuk gevaarlijker maakt.
Wanneer cybercriminelen inloggegevens verkrijgen via phishing-tools zoals Morphing Meerkat, kan dit ernstige impact hebben op organisaties. Met deze gegevens kunnen criminelen zich namelijk toegang verschaffen tot netwerken, gevoelige gegevens stelen en verdere aanvallen uitvoeren. Dit kan leiden tot aanzienlijke financiële schade, reputatieschade en juridische gevolgen. Bovendien kunnen gecompromitteerde accounts worden gebruikt om phishing e-mails naar andere werknemers of klanten te sturen, waardoor de aanval verder kan uitbreiden.
Hoe wapen je je organisatie tegen Morphing Meerkat?
Verbetering in netwerkzichtbaarheid en -monitoring zijn essentieel om organisaties te beschermen tegen PhaaS zoals Morphing Meerkat, die gebruikmaken van veelvoorkomende blinde vlekken met behulp van geavanceerde technieken zoals DNS-cloaking en open redirects. Organisaties kunnen zichzelf tegen dit soort aanvallen beschermen door DNS beveiliging aan hun systemen toe te voegen. Dit omvat het aanscherpen van DNS controles zodat gebruikers niet kunnen communiceren met externe DoH-servers (DNS over HTTPS). Ook kun je zo de toegang blokkeren tot adtech-infrastructuur. Wanneer organisaties hiermee het aantal niet-kritieke diensten in hun netwerk kunnen verkleinen, nemen ze ook opties weg voor cybercriminelen om hun netwerk aan te vallen.
Lees het blog van Infoblox Threat Intel voor meer informatie over de technieken achter Morphing Meerkat.
Meer lezen
