網絡安全研究人員揭露了一個新的 “網絡釣魚即服務” （PhaaS）平臺，該平臺利用域名系統（DNS）郵件交換（MX）記錄來提供模仿約 114 個品牌的虛假登錄頁面。

DNS 情報公司 Infoblox 正在追蹤這個 “網絡釣魚即服務” 背后的攻擊者、其網絡釣魚工具包以及相關活動，并將其命名為 Morphing Meerkat。

Morphing Meerkat 的攻擊手法分析

該公司在與 The Hacker News 分享的一份報告中稱：“這些攻擊活動背后的威脅行為者經常利用廣告技術基礎設施上的開放式重定向漏洞，侵占域名用于網絡釣魚傳播，并通過包括 Telegram 在內的多種機制來分發竊取到的憑據。”

2024 年 7 月，Forcepoint 記錄了一場利用該 “網絡釣魚即服務” 工具包進行的攻擊活動。在這場活動中，網絡釣魚電子郵件包含指向一個所謂共享文檔的鏈接，收件人點擊后會被引導至一個托管在 Cloudflare R2 上的虛假登錄頁面，最終目的是通過 Telegram 收集并竊取憑據。

據估計，Morphing Meerkat 已發送了數千封垃圾郵件，這些網絡釣魚信息利用被入侵的 WordPress 網站以及Google 旗下的 DoubleClick 等廣告平臺上的開放式重定向漏洞，繞過了安全過濾器。

它還能夠將網絡釣魚內容的文本動態翻譯成十多種不同的語言，包括英語、韓語、西班牙語、俄語、德語、中文和日語，以針對全球各地的用戶。

Morphing Meerkat獨特的攻擊技術

除了通過混淆和擴充代碼來增加代碼可讀性的難度外，這些網絡釣魚著陸頁還采用了反分析措施，禁止使用鼠標右鍵點擊，以及禁止使用鍵盤熱鍵組合 Ctrl + S（將網頁另存為 HTML 格式）和 Ctrl + U（打開網頁源代碼）。

但真正讓這個威脅行為者與眾不同的是，它會使用從 Cloudflare 或 Google 獲取的 DNS MX 記錄來識別受害者的電子郵件服務提供商（如 Gmail、Microsoft  Outlook 或Yahoo等），并動態地提供虛假登錄頁面。如果網絡釣魚工具包無法識別 MX 記錄，它就會默認顯示一個 Roundcube 登錄頁面。

Infoblox公司表示：“這種攻擊方法對惡意行為者來說很有優勢，因為它使他們能夠通過展示與受害者的電子郵件服務提供商密切相關的網頁內容，對受害者進行有針對性的攻擊?！?/p>

“整體的網絡釣魚體驗讓人感覺很自然，因為著陸頁的設計與垃圾郵件的內容是一致的。這種技術有助于攻擊者誘騙受害者通過網絡釣魚網頁表單提交他們的電子郵件憑據。”