Kit d'hameçonnage Morphing Meerkat
Des chercheurs en cybersécurité ont découvert une plateforme sophistiquée de phishing en tant que service (PhaaS) qui exploite les enregistrements d'échange de courrier (MX) du système de noms de domaine (DNS) pour créer de fausses pages de connexion imitant plus de 114 marques. L'auteur de cette opération, identifié sous le pseudonyme Morphing Meerkat, mène des campagnes de phishing à grande échelle pour récupérer les identifiants des utilisateurs.
Table des matières
Comment fonctionne le suricate morphing
Les attaquants emploient plusieurs tactiques pour diffuser des liens d'hameçonnage et exfiltrer les identifiants volés. Parmi celles-ci :
- Exploitation des redirections ouvertes : ils profitent des vulnérabilités de l'infrastructure adtech.
- Domaines compromettants : les sites Web piratés sont utilisés pour héberger du contenu de phishing.
- Utilisation de Telegram pour l'exfiltration : les informations d'identification volées sont envoyées aux acteurs de la menace via Telegram.
Une campagne documentée datant de juillet 2024 impliquait des e-mails d'hameçonnage contenant des liens vers un prétendu document partagé. En cliquant sur le lien, les utilisateurs étaient redirigés vers une fausse page de connexion hébergée sur Cloudflare R2, où leurs identifiants étaient collectés et transmis aux attaquants.
Contourner la sécurité grâce à des tactiques intelligentes
Le Meerkat Morphing a réussi à diffuser des milliers d'e-mails d'hameçonnage en contournant les défenses de sécurité. Il y parvient grâce aux méthodes suivantes :
- Exploiter les sites WordPress compromis : héberger des pages de phishing sur des sites Web légitimes mais piratés.
- Exploitation des vulnérabilités de redirection ouvertes : utilisation de plateformes publicitaires telles que DoubleClick, propriété de Google, pour échapper à la détection de sécurité.
La plateforme de phishing améliore également son efficacité en traduisant dynamiquement le contenu en plusieurs langues, notamment l'anglais, le coréen, l'espagnol, le russe, l'allemand, le chinois et le japonais, ce qui lui permet de cibler des victimes dans le monde entier.
Techniques d’évasion avancées
Le Suricate Morphing utilise plusieurs techniques d'anti-analyse et d'obscurcissement pour échapper à la détection :
- Obfuscation et inflation du code : rend les pages de phishing plus difficiles à analyser.
- Désactivation du clic droit et des raccourcis clavier : empêche les chercheurs en sécurité d'afficher ou d'enregistrer rapidement le code source de la page de phishing.
Le rôle des enregistrements DNS MX dans le phishing personnalisé
Ce qui distingue Morphing Meerkat des autres menaces de phishing, c'est son utilisation des enregistrements MX DNS pour personnaliser les attaques. Le kit de phishing récupère les enregistrements MX de Cloudflare ou Google pour identifier le fournisseur de messagerie de la victime (tel que Gmail, Microsoft Outlook ou Yahoo!), puis affiche une fausse page de connexion correspondante.
Si le kit de phishing ne reconnaît pas l'enregistrement MX, il affiche par défaut une page de connexion Roundcube. Cette personnalisation dynamique augmente considérablement les chances de réussite en rendant l'expérience de phishing fluide et authentique pour les victimes.
Pourquoi cette méthode d’attaque est dangereuse
La possibilité d'adapter les pages de phishing au fournisseur de messagerie de la victime rend cette campagne particulièrement trompeuse. La familiarité de la fausse page de connexion, associée à un e-mail de phishing bien conçu, augmente les risques qu'un utilisateur saisisse ses identifiants sans le savoir.
En exploitant les renseignements DNS, Morphing Meerkat élève les attaques de phishing à un niveau de sophistication inédit, les rendant plus difficiles à détecter et plus convaincantes que jamais. Les experts en cybersécurité continuent de suivre et d'analyser l'évolution de ses tactiques afin d'en atténuer l'impact.
