A Morphing Meerkat egy kifinomult phishing-as-a-service (PhaaS) platform, amely a DNS-over-HTTPS (DoH) protokollt alkalmazza a hagyományos biztonsági megoldások megkerülésére és az adathalász tevékenységek hatékonyságának növelésére. A DoH lényege, hogy a DNS lekérdezéseket titkosított HTTPS forgalomba ágyazza, így azok rejtve maradnak a hagyományos hálózati megfigyelő eszközök elől. A Morphing Meerkat a technológiát kihasználva képes dinamikusan észlelni az áldozat e-mail szolgáltatóját a DNS mail exchange (MX) rekordok alapján, majd ennek megfelelően jelenít meg hamis bejelentkezési oldalakat, amelyek jelenleg 114 különböző szolgáltatói felületet képesek utánozni. A megszerzett hitelesítő adatokat különböző mechanizmusokon, például e-mailben vagy csevegőszolgáltatásokon keresztül továbbítja.
A támadások általában egy adathalász e-maillel kezdődnek, amely egy rosszindulatú hivatkozást tartalmaz. Amikor a felhasználó rákattint erre a linkre, egy sor átirányításon megy keresztül, amelyek gyakran kompromittált WordPress oldalakat és nyílt átirányítási sebezhetőségeket használnak ki hirdetési platformokon, mint például a Google DoubleClick. Végül a felhasználó egy olyan hamis bejelentkezési oldalra érkezik, amely a DNS MX rekord alapján azonosítja az e-mail szolgáltatóját, és ennek megfelelően jeleníti meg a hamis oldalt. Ez a dinamikus tartalommegjelenítés növeli az adathalász támadások hitelességét, mivel a hamis oldalak pontosan utánozzák a valódi szolgáltatók bejelentkezési felületeit. A Morphing Meerkat másik különlegessége a többnyelvű támogatás, amely lehetővé teszi a hamis tartalmak több mint egy tucat különböző nyelven történő megjelenítését. Ezáltal a támadók globálisan célozhatják meg az áldozatokat, figyelembe véve azok nyelvi preferenciáit.
A Morphing Meerkat egy rendkívül fejlett PhaaS-platform, amely folyamatosan fejlődik, és új technikákat alkalmaz a biztonsági rendszerek megkerülésére. A DNS-over-HTTPS protokoll kreatív felhasználásával képes valós időben adaptálni a hamis bejelentkezési oldalakat az adott célpont alapján. Ez a fajta fejlett adathalász fenyegetés rávilágít arra, hogy a hagyományos védekezési stratégiák már nem elegendőek, és a kiberbiztonsági szakembereknek folyamatosan alkalmazkodniuk kell az új módszerekhez.
Indikátorok és a technikáról bővebb információ az infoblox cikkében található.
