Фишинг-пак Morphing Meerkat использует записи DNS MX для прицела ловушек

Фишинг-пак Morphing Meerkat использует записи DNS MX для прицела ловушек

Фишинг-пак Morphing Meerkat использует записи DNS MX для прицела ловушек

Наборы инструментов фишинга, которые в Infoblox именуют Morphing Meerkat, заточены под кражу учеток имейл. От аналогов их отличает использование MX-записей, позволяющих идентифицировать провайдера цели и скорректировать атаку на лету.

Киберкампании с использованием фишинг-паков Morphing Meerkat эксперты отслеживают с января 2020 года.

На тот момент созданный на их основе теневой сервис (PhaaS, phishing-as-a-service) предлагал подписчикам выбор из пяти брендов: Gmail, Outlook, AOL, Office 365 и Yahoo, и все шаблоны были заточены под английский язык.

В настоящее время список атакуемых имейл содержит 114 наименований, а текст поддельных писем автоматически переводится на язык, выставленный в браузере мишени (JavaScript-модуль предоставляет более десятка опций, включая русский).

Платформа Morphing Meerkat обеспечивает проведение массовых спам-рассылок со спуфингом имени и адреса отправителя. Чаще всего такие сообщения уведомляют о проблемах с почтовым аккаунтом; изредка также попадаются фальшивки, написанные от имени банков (о платежах) и логистических компаний (о доставке груза).

Для проведения рассылок в рамках PhaaS используются почтовики десятка интернет-провайдеров — в основном серверы британского iomart и американского HostPapa. Вставленные в тело письма ссылки запускают цепочку редиректов, в которую могут быть вовлеченные взломанные сайты WordPress, файлообменники, рекламные сервисы с уязвимостью Open Redirect, а также службы сокращения ссылок.

В поисках MX-записей для доменов Morphing Meerkat обращается к сервису Cloudflare DoH либо Google Public DNS, а затем, используя кастомный словарь имен, загружает соответствующий фишинговый файл HTML. При отсутствии совпадений по дефолту отображается страница авторизации Roundcube.

После ввода идентификаторов в фишинговую форму жертву перенаправляют на настоящую страницу входа — на случай возникновения у нее сомнений. Сбор краденого может осуществляться разными способами, в том числе через Telegram.

Для защиты от анализа используются обфускация кода и контроль действий визитеров на фишинговых страницах, где запрещено пользоваться правой кнопкой мыши (открывает контекстное меню), а также горячими клавишами Ctrl + S (сохраняет HTML-код на машине пользователя) и Ctrl + U (открывает исходный код веб-страницы).

 

Последние годы эксперты фиксируют рост популярности PhaaS у киберкриминала, и число таких сервисов множится. Так, недавно создатели Darcula запустили новую фишинг-платформу — Licid, которая тоже позволяет проводить атаки на владельцев iPhone и Android-устройств.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Почти 40% россиян считают свои данные скомпрометированными

Согласно результатам нового исследования, 39% опрошенных считают, что их персональные данные уже были скомпрометированы. Более половины респондентов (51%) слышали об утечках в компаниях, услугами которых они пользуются.

Вопрос защиты персональных данных вызывает обеспокоенность у 92% участников опроса.

Как отметили в BI.ZONE и «СберМаркетинге», в целом респонденты правильно понимают, что такое персональные данные: 65% согласились с определением, согласно которому это информация, позволяющая установить личность человека.

При этом 81% опрошенных готовы делиться своими данными ради участия в программах лояльности или получения иных выгод. Однако только 18% готовы делать это в любом случае, тогда как 63% зависят в своём решении от уровня доверия к конкретной организации.

Готовность делиться информацией также различается в зависимости от её типа. Охотно сообщают:

  • адрес электронной почты — 81%,
  • номер телефона — 72%,
  • дату рождения — 70%.

Гораздо реже пользователи готовы раскрыть:

  • никнейм или ссылку на профиль в соцсетях — 28%,
  • место жительства и должность — по 27%,
  • место работы — 25%,
  • паспортные данные — только 7% (среди женщин — 12%, среди мужчин — 3%).

По мнению авторов исследования, такая осторожность связана с риском использования паспортных данных в мошеннических целях. В то же время остальная информация часто уже доступна в открытых источниках, например, в социальных сетях.

70% респондентов сообщили, что получают рекламные сообщения от компаний, которым, по их мнению, они не давали согласие на обработку персональных данных, как того требует российское законодательство. Эксперты предполагают, что многие компании оформляют согласие в неявной или скрытой форме, из-за чего потребители не осознают, что дали на это разрешение.

Муслим Меджлумов, директор по продуктам и технологиям BI.ZONE, подчеркнул: «Три четверти россиян готовы отказаться от услуг организаций, допустивших утечку личной информации. Это создаёт серьёзные финансовые риски для бизнеса, и мы рекомендуем компаниям занимать проактивную позицию в вопросах защиты данных и уделять повышенное внимание мерам кибербезопасности».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru