Morphing Meerkat 是最近发现的一种网络钓鱼即服务(PhaaS)操作,该操作一直在利用基于HTTPS的DNS(DoH)来避免被发现。根据 Infoblox 的安全研究人员 称,这种复杂的操作至少从2020年开始就很活跃。该平台使用DNS电子邮件交换(MX)记录为超过114个品牌动态定制欺骗性登录页面,使其在欺骗受害者方面非常有效。PhaaS操作具有集中式SMTP基础设施,其跟踪的电子邮件很大一部分来自英国的iomart和美国的HostPapa提供的服务。Morphing Meerkat可以冒充各种电子邮件和服务提供商,例如Gmail、Outlook、Yahoo以及几家大公司,使用紧急主题行来促使采取行动。这些网络钓鱼电子邮件以多种语言发送,包括英语、西班牙语、俄语和中文,并且可以伪造发件人的姓名和地址使其看起来合法。点击恶意链接后,受害者会通过一系列涉及受感染网站和免费托管服务的公开重定向漏洞进行重定向。然后,网络钓鱼工具包使用DoH查询受害者电子邮件域的MX记录,以加载预先填充受害者电子邮件的虚假登录页面,从而增强欺骗性。该操作能够逃避检测并动态提供定制的网络钓鱼页面,标志着网络钓鱼策略的重大演变。来源
