Новая фишинговая кампания персонализирует сообщения, чтобы атаковать вас с помощью ваших любимых компаний

Киберпреступники создали новый метод для рассылки фишинговых писем бизнес-пользователям, которые практически неотличимы от легитимных сообщений.

Исследователи по кибербезопасности Infoblox обнаружили набор инструментов Phishing-as-a-Service (PhaaS), созданный группой злоумышленников под названием Morphing Meerkat, который использует записи MX почтового обмена DNS для динамической подачи поддельных страниц входа. Эта техника позволяет им подделывать более 100 различных брендов, что делает ее довольно мощным инструментом для киберпреступников.

«Платформа PhaaS Morphing Meerkat и фишинговые наборы уникальны по сравнению с другими, поскольку они динамически подают веб-страницы входа в систему на основе записи MX DNS домена электронной почты каждого жертвы», — объяснили исследователи, сказав, что это позволяет злоумышленникам отображать веб-контент «сильно связанный» с поставщиком услуг электронной почты жертвы.

«Весь фишинговый опыт кажется естественным, потому что дизайн страницы назначения согласуется с сообщением спам-сообщения», — добавили они.

Morphing Meerkat пока не привлек к себе много внимания, что может показаться довольно удивительным, учитывая тот факт, что он отправил «тысячи» спам-писем с серверов, в основном расположенных в Великобритании и Соединенных Штатах. Однако исследователи заявили, что операция «сложна» для обнаружения в масштабе, поскольку злоумышленники знают, где находятся пробелы в безопасности, и использовали их посредством открытых перенаправлений на рекламные технологии, DoH-связь и популярные службы обмена файлами.

Для защиты от себя организации должны добавить сильный слой безопасности DNS в свои системы, заключает Infoblox, что включает в себя ужесточение контроля DNS и запрет пользователям связи с серверами DoH. «Если компании смогут сократить количество несущественных служб в своей сети, они смогут уменьшить свою атакуемую поверхность, предоставив киберпреступникам мало возможностей для доставки угроз», — заключил Infoblox.