Nel panorama delle minacce informatiche, il phishing continua a evolversi con tecniche sempre più sofisticate. Un recente studio ha evidenziato l’uso di Phishing-as-a-Service (PhaaS), combinato con DNS-over-HTTPS (DoH) e abuso dei record DNS MX, per evitare il rilevamento e distribuire dinamicamente infrastrutture di attacco e fornire pagine di accesso false che impersonano oltre 100 brand.
La società Infoblox ha ribattezzato il kit di phishing analizzato con il nome di Morphing Meerkat.
Come funziona l’attacco
Gli attori malevoli utilizzano DoH per mascherare le loro richieste DNS, impedendo alle difese aziendali di analizzare il traffico dannoso. Allo stesso tempo, manipolano i record MX per deviare le e-mail di phishing attraverso server controllati, cambiando dinamicamente i domini per rendere più difficile il blocco delle campagne.
“I messaggi di posta elettronica utilizzano il formato HTML e in genere mostrano un’icona o un’immagine di posta elettronica generica correlata al provider di servizi di posta elettronica della vittima“, si legge nel rapporto Infoblox, e con un senso di urgenza inducono il destinatario a cliccare su un collegamento ipertestuale che in realtà reindirizza la vittima a una landing page di phishing.
“La piattaforma PhaaS di Morphing Meerkat e i kit di phishing sono unici rispetto ad altri perché servono dinamicamente pagine web di accesso di phishing in base al record DNS MX del dominio di posta elettronica di ogni vittima. Questo metodo di attacco è vantaggioso per i malintenzionati”, prosegue il rapporto, “perché consente loro di eseguire attacchi mirati alle vittime visualizzando contenuti web fortemente correlati al loro provider di servizi di posta elettronica.“
Perché è un problema
I ricercatori stimano che tramite il kit Morphing Meerkat siano state recapitate migliaia di e-mail di phishing sfruttando siti web WordPress compromessi, vulnerabilità di reindirizzamento open redirect e piattaforme pubblicitarie come DoubleClick di proprietà di Google per aggirare i filtri di sicurezza.
Come proteggersi
Le organizzazioni possono proteggersi da questo tipo di attacchi aggiungendo un livello di sicurezza DNS ai loro sistemi e diminuendo il numero di servizi nella loro rete a quelli essenziali, per ridurre la loro superficie di attacco.
Per approfondire, leggi il rapporto completo Infoblox.
