Os criminosos do mundo digital encontram-se sempre a procurar novas formas de realizarem os seus ataques, e recentemente foi identificada uma nova campanha de phishing-as-a-service (PhaaS) que adota uma estratégia diferente.
Apelidada de “Morphing Meerkat”, esta nova campanha foi descoberta a usar serviços de DNS over HTTPS (DoH) para tentar escapar à identificação das suas atividades. A campanha usa ainda registos MX para realizar as suas atividades, atacando diretamente os sistemas de email das vítimas.
Segundo investigadores da Infoblox, a campanha encontra-se ativa desde 2020, e foi descoberta depois de ter escapado dos radares durante anos, o que comprova que a técnica foi bastante eficaz na tarefa a que se propunha.
O Morphing Meerkat é uma campanha de PhaaS, onde os criminosos fornecem todas as ferramentas necessárias para lançar ataques. Estas ferramentas usam técnicas avançadas não apenas para realizar os ataques, mas também para ocultarem as suas atividades.
Esta conta ainda com uma infraestrutura centralizada de SMTP, que é usada para enviar campanhas de spam em massa, através de contas de email roubadas das vítimas.
O phishing conta com um kit de plataformas de login de diferentes fornecedores de email, como o Gmail, Outlook e Yahoo. Os criminosos que usem o kit para as suas atividades possuem acesso a uma plataforma avançada e constantemente atualizada.
Se as vítimas acederem a um email criado por esta campanha, são direcionados para falsos sites onde se tentam obter os dados de login nas suas contas de email. Estes dados são depois enviado para os servidores dos atacantes, e eventualmente para canais dedicados do Telegram – onde são recolhidos pelos atacantes para os mais variados fins.
A campanha usa sistemas de DoH para enviar pedidos específicos para os servidores MX das vítimas, e como o tráfego aparenta ser de um simples pedido seguro de DoH, a maioria dos sistemas de segurança não vão identificar o mesmo como malicioso.
Com esta técnica, os atacantes conseguem realizar ataques consideravelmente mais silenciosos, e podem contornar alguns sistemas de segurança que se baseiam apenas em pedidos DNS – como o DoH encontra-se normalmente encriptado, os pedidos acabam por ser mascarados como qualquer outro do sistema.
Nenhum comentário
Seja o primeiro!