A Infoblox Threat Intel revelou uma plataforma de Phishing-as-a-Service (PhaaS) altamente sofisticada, apelidada de Morphing Meerkat, que utiliza técnicas avançadas para enganar usuários e roubar credenciais de acesso. O ataque, que já falsificou mais de 100 marcas, representa uma ameaça significativa para empresas e indivíduos em todo o mundo.
Como funciona o ataque
O Morphing Meerkat emprega uma abordagem inovadora ao explorar registros de troca de e-mail (MX) do DNS. Quando a vítima clica em um link de phishing, o kit de ataque consulta o registro MX do domínio de e-mail da vítima para identificar seu provedor. Com essa informação, ele gera dinamicamente uma página de login falsa que imita a original, tornando a tentativa de roubo de credenciais mais convincente.
Essa técnica aproveita configurações legítimas de DNS para criar um ataque sofisticado, semelhante ao conceito de “living off the land”, no qual hackers utilizam elementos do próprio ambiente para evitar detecção.
Principais recursos do Morphing Meerkat
De acordo com a Infoblox, a plataforma oferece aos cibercriminosos diversas vantagens:
- Roubo de credenciais: após a inserção das credenciais na página falsa, os dados são enviados diretamente aos criminosos.
- Redirecionamento estratégico: para evitar suspeitas, a vítima pode ser redirecionada para a página real do provedor após algumas tentativas de login malsucedidas.
- Alcance global: as páginas falsas podem ser traduzidas para vários idiomas, permitindo ataques em larga escala.
- Isca personalizada: o uso de registros MX permite que os ataques sejam direcionados e mais difíceis de detectar.
- Técnicas de evasão: a plataforma contorna sistemas de segurança ao usar redirecionamentos abertos em servidores de adtech e ofuscar códigos para dificultar a análise.
- Escalabilidade: como um serviço PhaaS, permite que até mesmo cibercriminosos sem conhecimento técnico lancem campanhas de phishing sofisticadas.
Impactos para empresas e medidas de proteção
O comprometimento de credenciais por meio do Morphing Meerkat pode ter consequências graves para empresas, incluindo roubo de dados, prejuízos financeiros e danos à reputação. Além disso, contas comprometidas podem ser usadas para espalhar novos ataques dentro da organização e para seus clientes.
Para mitigar esse risco, especialistas recomendam que empresas reforcem a segurança de DNS, bloqueiem acessos desnecessários a servidores de adtech e implementem mecanismos de controle para impedir a comunicação com servidores DoH.
“Se as empresas puderem reduzir o número de serviços sem importância em sua rede, elas podem reduzir sua superfície de ataque, dando menos opções aos cibercriminosos para a entrega de ameaças”, alerta a Infoblox.
A análise completa sobre o Morphing Meerkat pode ser lida no blog da Infoblox.
