Une opération de phishing en tant que service (PhaaS) récemment découverte, que les chercheurs appellent Morphing Meerkat, utilise le protocole DNS sur HTTPS (DoH) pour échapper à la détection.
La plate-forme exploite également les enregistrements DNS email exchange (MX) pour identifier les fournisseurs de messagerie des victimes et pour servir dynamiquement des pages de connexion usurpées pour plus de 114 marques.
Morphing Meerkat est actif depuis au moins 2020 et il a été découvert par des chercheurs en sécurité d’Infoblox. Bien que l’activité ait été partiellement documentée, elle est passée sous le radar pendant des années.
Opération de phishing à grande échelle
Morphing Meerkat est une plate-forme PhaaS fournissant une boîte à outils complète pour lancer des attaques de phishing efficaces, évolutives et évasives qui nécessitent un minimum de connaissances techniques.
Il dispose d’une infrastructure SMTP centralisée pour distribuer les spams, avec 50% des e-mails tracés provenant des services Internet fournis par iomart (Royaume-Uni) et HostPapa (États-Unis).
L’opération peut usurper l’identité de plus de 114 fournisseurs de messagerie et de services, y compris Gmail, Outlook, Yahoo, DHL, Maersk et RakBank, délivrant des messages avec des lignes d’objet conçues pour inciter à une action urgente comme “Action requise: Désactivation du compte.”
Les e-mails sont livrés en plusieurs langues, dont l’anglais, l’espagnol, le Russe et même le chinois, et peuvent usurper les noms et adresses de l’expéditeur.
Si la victime clique sur le lien malveillant dans le message, elle passe par une chaîne d’exploits de redirection ouverts sur des plateformes de technologie publicitaire comme Google DoubleClick, impliquant fréquemment des sites WordPress compromis, de faux domaines et des services d’hébergement gratuits.
Une fois que la victime atteint la destination finale, le kit de phishing se charge et interroge l’enregistrement MX du domaine de messagerie de la victime à l’aide de DoH via Google ou Cloudflare.
Sur la base du résultat, le kit charge une fausse page de connexion avec l’adresse e-mail de la victime remplie automatiquement.
Une fois que la victime a saisi ses informations d’identification, celles-ci sont exfiltrées vers les acteurs de la menace via des requêtes AJAX vers des serveurs externes et des scripts PHP hébergés sur les pages de phishing. Le transfert en temps réel à l’aide de webhooks Telegram Bot est également possible.
Lors de la première saisie des informations d’identification, un message d’erreur indiquant “Mot de passe invalide.! Veuillez saisir l’adresse e-mail mot de passe correct » est servi pour que la victime tape à nouveau le mot de passe, s’assurant ainsi que les données sont correctes.
Une fois qu’ils font cela, ils sont redirigés vers la page d’authentification légitime pour réduire les soupçons.
DoH et DNS MX
L’utilisation de DoH et DNS MX permet à Morphing Meerkat de se démarquer des outils de cybercriminalité similaires, car ce sont des techniques avancées qui offrent des avantages opérationnels significatifs.
DNS sur HTTPS (DoH) est un protocole qui effectue la résolution DNS via des requêtes HTTPS cryptées, au lieu des requêtes DNS traditionnelles en texte brut basées sur UDP.
Un enregistrement MX (Mail Exchange) est un type d’enregistrement DNS qui indique à Internet quel serveur gère le courrier électronique pour un domaine donné.
Lorsque la victime clique sur un lien dans un e-mail de phishing, le kit est chargé sur son navigateur et effectue une requête DNS auprès de Google ou Cloudflare pour trouver les enregistrements MX de son domaine de messagerie.
Cela échappe à la détection car la requête se produit côté client et l’utilisation de DoH permet de contourner la surveillance DNS.
Avec le fournisseur de messagerie identifié à partir de l’enregistrement MX, le kit de phishing peut ensuite servir dynamiquement le kit de phishing correspondant à la victime.
Une ligne de défense recommandée contre ce type de menace est un « contrôle DNS plus strict afin que les utilisateurs ne puissent pas communiquer avec les serveurs DoH ou bloquer l’accès des utilisateurs à l’infrastructure adtech et de partage de fichiers non critique pour l’entreprise », explique Infoblox.
Les indicateurs complets de compromission (IoC) associés à l’activité de transformation des suricates ont été rendus publics sur ce référentiel GitHub.