章
目
录
最近,网络安全领域发现了一个很危险的“网络钓鱼即服务”(PhaaS)平台,叫Morphing Meerkat,该平台利用域名系统(DNS)邮件交换(MX)记录来提供模仿约 114 个品牌的虚假登录页面。DNS情报公司Infoblox一直在追踪这个平台背后搞破坏的人、他们用的网络钓鱼工具包,还有相关的恶意活动。
一、利用漏洞传播钓鱼链接
这些攻击者特别狡猾,经常利用广告技术基础设施里的开放式重定向漏洞。就好比在一个本来正常的广告渠道上,偷偷开了个“后门”,把一些正常的域名给侵占了,然后用来传播网络钓鱼链接。他们还会通过多种方式,比如大家常用的Telegram,来分发从受害者那里窃取到的账号密码等信息。
早在2024年7月,Forcepoint就监测到一场利用这个网络钓鱼工具包的攻击。当时,很多人收到一些邮件,邮件里有个链接,说是什么共享文档。收件人要是不小心点了,就会被带到一个放在Cloudflare R2上的假登录页面。这背后的目的很明显,就是想通过Telegram收集并偷走用户的账号密码。
据估算,Morphing Meerkat已经发送了好几千封垃圾邮件。它利用被入侵的WordPress网站,还有像Google旗下DoubleClick这样的广告平台的漏洞,成功绕过了安全过滤器,让这些钓鱼信息到处传播。
二、多语言“伪装”与反分析手段
这个网络钓鱼平台还有个特点,它能把钓鱼内容的文本动态翻译成十多种语言,像英语、韩语、西班牙语、俄语、德语、中文、日语等等。这样一来,全球各地的用户都可能成为它的目标。
不仅如此,它还采取了不少反分析措施。它把代码进行混淆和扩充,让安全人员很难读懂代码,增加分析难度。而且,那些钓鱼登录页面也做了手脚,禁止用户使用鼠标右键点击,也不让用Ctrl + S(保存网页为HTML格式)和Ctrl + U(查看网页源代码)这些常用的键盘快捷键组合。
三、利用DNS MX记录精准钓鱼
Morphing Meerkat最让人头疼的地方,是它会利用从Cloudflare或Google获取的DNS邮件交换(MX)记录。简单来说,DNS MX记录就像是一个“地址簿”,能告诉我们某个邮箱账号对应的邮件服务器在哪里。Morphing Meerkat通过获取这个记录,就能知道受害者用的是哪个电子邮件服务提供商,比如Gmail、Microsoft Outlook还是Yahoo等等。然后,它会根据这些信息,动态生成看起来很逼真的假登录页面。要是它没办法识别MX记录,就会默认显示一个Roundcube登录页面。
Infoblox公司指出,这种攻击方式对恶意攻击者来说好处很大。因为他们可以根据受害者使用的邮件服务,展示非常相似的网页内容,进行精准的攻击。整个网络钓鱼的过程,从收到的垃圾邮件,到打开后的登录页面,看起来都很“自然”,这就让很多用户放松警惕,很容易就被骗着在钓鱼网页的表单里输入自己的邮箱账号密码。大家一定要提高警惕,别让这些坏人得逞!
