Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения

Исследователи выявили новую операцию типа «фишинг как услуга» (phishing-as-a-service, PhaaS), которая получила название Morphing Meerkat. Злоумышленники используют протокол DNS over HTTPS (DoH), чтобы обойти системы обнаружения.

Платформа использует DNS-записи обмена электронной почтой (MX) для определения почтового провайдера жертвы и динамической подгрузки поддельных страниц входа более чем для 114 почтовых провайдеров.

Платформа Morphing Meerkat активна как минимум с 2020 года. Ее обнаружили специалисты по безопасности из Infoblox. Несмотря на частичные упоминания в прошлом, активность этой платформы в значительной степени оставалась незамеченной.

Масштабная фишинговая операция

Morphing Meerkat — это PhaaS-платформа, предоставляющая полный набор инструментов для запуска масштабных, эффективных и скрытных фишинговых атак, не требующих глубоких технических знаний.

Она использует централизованную SMTP-инфраструктуру для рассылки спама. При этом 50% писем отслеживаются как исходящие от хостинговых провайдеров iomart (Великобритания) и HostPapa (США).

Операция может подделывать более 114 провайдеров почты и сервисов, включая Gmail, Outlook, Yahoo, DHL, Maersk и RakBank, рассылая сообщения с темами, побуждающими к срочным действиям, например: «Требуется действие: Деактивация аккаунта».

Эти письма доставляются на нескольких языках — английском, испанском, русском и китайском — и могут подделывать имя и адрес отправителя.

Если жертва переходит по вредоносной ссылке, то проходит через цепочку открытых редиректов на рекламных платформах, например Google DoubleClick, а также через взломанные WordPress-сайты, поддельные домены и бесплатные хостинги.

На финальной странице запускается фишинговый комплект, который через DoH-запрос к Google или Cloudflare определяет MX-запись домена почты жертвы.

На основе полученной информации загружается поддельная страница входа, где уже автоматически подставлен адрес электронной почты жертвы.

После ввода данных учетной записи, информация отправляется злоумышленникам через AJAX-запросы к внешним серверам и PHP-скрипты, размещенные на фишинговых страницах. Также возможна мгновенная передача через Telegram-бота.

Если пользователь вводит пароль впервые, появляется сообщение об ошибке: «Некорректный пароль! Пожалуйста введите правильный пароль от почты», что побуждает жертву ввести пароль повторно — для проверки его корректности.

Затем пользователь перенаправляется на настоящую страницу авторизации, чтобы не вызвать подозрений.

DoH и DNS MX

Использование DoH и DNS MX выделяет Morphing Meerkat среди других киберугроз, так как это продвинутые техники с высокой степенью скрытности.

Протокол DNS over HTTPS (DoH) используется для отправки DNS-запросов в зашифрованном виде через HTTPS, а не в открытом виде по UDP.

MX-запись (Mail Exchange) — это тип DNS-записи, указывающий, какой сервер обрабатывает почту для домена.

Когда жертва кликает по ссылке из письма, в браузере загружается фишинговый комплект, который отправляет DNS-запрос к Google или Cloudflare, чтобы определить MX-записи почтового домена.

Такая реализация обходит системы мониторинга, так как запрос выполняется на стороне клиента, а DoH скрывает его от обычных фильтров DNS.

После определения почтового провайдера, фишинговый комплект подгружает соответствующую поддельную страницу входа.

Один из рекомендуемых способов защиты от подобных угроз — это усиленный контроль DNS, блокировка связи пользователей с DoH-серверами, а также ограничение доступа к рекламным и файлообменным платформам.

Полный список IoC (индикаторов компрометации), связанных с Morphing Meerkat, опубликован в репозитории GitHub по ссылке.