Morphing Meerkat suplanta más de 100 marcas y roba credenciales
Infoblox Threat Intel ha descubierto una plataforma de Phishing-as-a-Service (PhaaS) altamente sofisticada que representa una amenaza significativa para empresas a nivel mundial.
El actor de amenazas detrás de estas campañas, denominado «Morphing Meerkat», emplea de manera creativa los registros de intercambio de correo (MX) en DNS para generar dinámicamente páginas de inicio de sesión falsas, suplantando más de 100 marcas y robando credenciales de acceso.
Cuando una víctima hace clic en un enlace de phishing, el kit de phishing consulta el registro MX del dominio de correo electrónico de la víctima para identificar a su proveedor de servicio de correo electrónico. Basándose en el registro MX, el kit de phishing genera dinámicamente una página de inicio de sesión falsa que imita la del proveedor de correo real de la víctima.
Esta novedosa técnica basada en DNS permite a los atacantes personalizar el contenido para sus víctimas utilizando configuraciones de correo destinadas a otros fines. Es una versión en DNS de la táctica conocida como «living off the land», en la que los actores maliciosos explotan elementos del entorno existente para ocultarse.
Esta novedosa técnica basada en DNS permite a los atacantes personalizar el contenido para sus víctimas utilizando configuraciones de correo destinadas a otros fines. Es una versión en DNS de la táctica conocida como «living off the land», en la que los actores maliciosos explotan elementos del entorno existente para ocultarse.
Morphing Meerkat: Un kit de phishing sofisticado que proporciona a los ciberdelincuentes:
• Robo de credenciales: Cuando las víctimas ingresan sus credenciales en la página falsa, Morphing Meerkat las roba y las envía a los ciberdelincuentes.
• Redirección: Para evitar sospechas, el kit de phishing a menudo redirige a la víctima a la página de inicio de sesión real de su proveedor de correo después de varios intentos fallidos.
• Alcance global: El kit puede traducir las páginas falsas a múltiples idiomas, permitiendo ataques a usuarios en todo el mundo.
• Anzuelo personalizado: El uso de registros MX para generar dinámicamente páginas de phishing personalizadas hace que los intentos sean más convincentes.
• Técnicas de evasión: La plataforma emplea diversas técnicas para eludir los sistemas de seguridad tradicionales, como el uso de redirecciones abiertas en servidores de tecnología publicitaria (“adtech”) y código de enmascaramiento para dificultar su análisis.
• Escalabilidad: Como plataforma PhaaS, permite que incluso ciberdelincuentes sin conocimientos técnicos puedan lanzar campañas de phishing a gran escala, aumentando la amenaza.
• Alcance global: El kit puede traducir las páginas falsas a múltiples idiomas, permitiendo ataques a usuarios en todo el mundo.
• Anzuelo personalizado: El uso de registros MX para generar dinámicamente páginas de phishing personalizadas hace que los intentos sean más convincentes.
• Técnicas de evasión: La plataforma emplea diversas técnicas para eludir los sistemas de seguridad tradicionales, como el uso de redirecciones abiertas en servidores de tecnología publicitaria (“adtech”) y código de enmascaramiento para dificultar su análisis.
• Escalabilidad: Como plataforma PhaaS, permite que incluso ciberdelincuentes sin conocimientos técnicos puedan lanzar campañas de phishing a gran escala, aumentando la amenaza.
Impacto del phishing en las empresas
Cuando los ciberdelincuentes obtienen credenciales a través de estafas de phishing como Morphing Meerkat, las consecuencias pueden ser graves, especialmente para las empresas. Con estos datos, los atacantes pueden infiltrarse en redes corporativas, robar información confidencial e incluso lanzar ataques adicionales. Esto puede resultar en pérdidas financieras significativas, daño reputacional y responsabilidades legales. Además, las cuentas comprometidas pueden utilizarse para enviar correos de phishing a otros empleados o clientes, expandiendo el ataque y causando interrupciones generalizadas.
Cómo protegerse contra Morphing Meerkat
La visibilidad y el monitoreo son esenciales para la seguridad empresarial. Morphing Meerkat ejemplifica cómo los ciberdelincuentes explotan puntos ciegos de seguridad mediante técnicas avanzadas como encubrimiento de DNS y redirecciones abiertas.
La visibilidad y el monitoreo son esenciales para la seguridad empresarial. Morphing Meerkat ejemplifica cómo los ciberdelincuentes explotan puntos ciegos de seguridad mediante técnicas avanzadas como encubrimiento de DNS y redirecciones abiertas.
Las organizaciones pueden protegerse implementando una capa robusta de seguridad DNS, lo que implica reforzar el control DNS de modo que los usuarios no se puedan comunicar con servidores DoH o bloquear el acceso de los usuarios a la infraestructura de tecnología publicitaria y de compartición de archivos que no son críticos para la empresa.
Si las compañías pueden reducir el número de servicios no importantes en su red, entonces pueden reducir también su superficie de ataque, dando con ello a los cibercriminales menos opciones para la distribución de amenazas.