Cibercriminales usan DNS sobre HTTPS en ataques de phishing como servicio
Una operación de phishing como servicio o PhaaS, por sus siglas en inglés, recientemente descubierta, llamada Morphing Meerkar, ha estado utilizando el protocolo DNS sobre HTTPS para evadir la detección. La plataforma también aprovecha los registros de intercambio de correo electrónico (MX) de DNS para identificar los proveedores de correo de las víctimas y servir de forma dinámica páginas de inicio de sesión falsificadas de más de 114 marcas.
Esta operación, Morphing Meerkat, ha estado activa al menos desde el año 2020 y fue descubierta por investigadores de diversos medios y firmas de seguridad. Aunque parte de su actividad había sido documentada, en s mayoría pasó desapercibida durante años.
Se trata de una plataforma PhaaS que ofrece un conjunto completo de herramientas para lanzar ataques de phishing eficaces, escalables y difíciles de detectar, que requieren un conocimiento técnico mínimo. Cuenta con una infraestructura SMTP centralizada para distribuir correos de spam y el 50% de los correos rastrados provienen de servicios de Internet proporcionados por Reino Unido y Estados Unidos.
La operación puede suplantar a más de 114 proveedores de correo y servicios, incluidos Gmail, Outlook, Yahoo, DHL, Maersk y RakBank, entregando mensajes con asuntos diseñados para provocar una acción urgente, por ejemplo, mensajes como: “Se requiere acción: Desactivación de cuenta”.
Los correos se entregan en varios idiomas, incluidos el inglés, español, ruso, entre otros. Además, pueden falsificar nombres y direcciones de remitente. Si la víctima hace clic en el enlace malicioso del mensaje, para por una cadena de redireccionamientos abiertos explotados en plataformas de tecnología publicitaria como Google DoubleClick, involucrando a sitios WordPress comprometidos, dominios falsos y servicios de alojamiento gratuito.
TIC Defense se encarga de poner a punto todas las defensas informáticas de tu empresa, gracias a nuestro enfoque preventivo y de respuesta rápida. Además, contamos con un amplio catálogo de herramientas, soluciones, productos y servicios totalmente adaptables a las necesidades de tu organización.
Una vez que la víctima llega al destino final, el kit de phishing se carga y consulta el registro MX del dominio de correo electrónico de la víctima, utilizando DoH a través de Google o Cloudflare. Según el resultado, el kit carga una página de inicio de sesión falsa con la dirección de correo electrónico de la víctima ya completada automáticamente.
Cuando la víctima introduce sus credenciales, estas son exfiltradas hacia los ciberdelincuentes por medio de soluciones AJAX a servidores externos y scripts PHO, alojados en las páginas de phishing. Del mismo modo, es posible el reenvío en tiempo real usando webhooks de bots de Telegram.
Cuando se introducen las credenciales por primera vez, se muestra un mensaje de error que puede decir algo como “Contraseña inválida, por favor, introduzca la contraseña correcta del correo electrónico”. Esto con el fin de lograr que la víctima logre escribir la contraseña, asegurando así que los datos sean correctos. Una vez que lo hacen, son redirigidos a la página de autenticación legítima para reducir las sospechas.
El uso de DoH y registros MX hace que las operaciones de Morphing Meerkat se destaquen de herramientas cibercriminales sobre HTTPS (DoH), es un protocolo que hace la resolución DNS a través de solicitudes HTTPS cifradas, en lugar de las consultas DNS tradicionales basadas en UDP sin cifrar.
