Share
Beitragsbild zu Ein Phishing-as-a-Service-Dienst nutzt DNS-over-HTTPS, um Sicherheitsmaßnahmen zu umgehen

Ein Phishing-as-a-Service-Dienst nutzt DNS-over-HTTPS, um Sicherheitsmaßnahmen zu umgehen

29. März 2025

Eine neu entdeckte Phishing-as-a-Service-Plattform (PhaaS) namens „Morphing Meerkat“ nutzt das DNS-over-HTTPS-Protokoll (DoH), um der Entdeckung zu entgehen. Zudem setzt sie DNS-Mail-Exchange-Datensätze (MX) ein, um die E-Mail-Anbieter der Opfer zu identifizieren und dynamisch täuschend echte Anmeldeseiten für über 114 Marken zu generieren. Morphing Meerkat ist seit mindestens 2020 aktiv und wurde von Sicherheitsforschern bei Infoblox aufgedeckt. Trotz vereinzelter Dokumentationen blieb die Bedrohung über Jahre hinweg weitgehend unbemerkt.

Die Phishing-as-a-Service-Plattform (PhaaS) „Morphing Meerkat“ ist hochentwickelt und bietet ihren Nutzern leistungsstarke Funktionen, darunter die massenhafte Versendung von Spam. Sie ist speziell darauf ausgelegt, herkömmliche Sicherheitsmaßnahmen zu umgehen und Phishing-Kampagnen effektiver zu gestalten.

Zu den Hauptfunktionen der Plattform gehören:

  • Weiterleitung von Internetnutzern zu Phishing-Inhalten über kompromittierte WordPress-Websites

  • Ausnutzung offener Umleitungsschwachstellen auf Adtech-Servern zur Umgehung von E-Mail-Sicherheitssystemen

  • Verwendung von DNS-MX-Datensätzen zur Identifikation des E-Mail-Dienstanbieters des Opfers und dynamischen Erstellung gefälschter Anmeldeseiten

  • Bereitstellung gestohlener Anmeldedaten über verschiedene Kanäle, darunter E-Mail- und Chat-Messaging-Dienste

  • Dynamische Übersetzung von Phishing-Inhalten in über ein Dutzend Sprachen, um eine weltweite Zielgruppe zu erreichen

  • Verschleierung des Phishing-Codes zur Vermeidung von Entdeckung

  • Täuschung verdächtiger Nutzer durch Weiterleitung auf legitime Anmeldeseiten

Die folgenden Abschnitte dieses Berichts analysieren detailliert die Angriffe von Morphing Meerkat sowie die eingesetzten Taktiken, Techniken und Tools (TTPs). Infoblox untersuche fortschrittliche Methoden, mit denen die Plattform E-Mail- und Phishing-Sicherheitsmaßnahmen umgeht und groß angelegte Spam-Kampagnen durchführt. Insgesamt ermöglicht Morphing Meerkat sowohl technisch versierten als auch weniger erfahrenen Cyberkriminellen die Durchführung weitreichender und äußerst effektiver Phishing-Angriffe.

Die Phishing-Kits dieser Kampagnen haben sich im Laufe der Zeit weiterentwickelt und verfeinert. Dennoch lässt sich ihre grundlegende Code-Struktur weiterhin erkennen, sodass ihre Entwicklung durch die Analyse kritischer Web-Artefakte nachverfolgt werden konnte. Fast alle Angriffe von Morphing Meerkat zielen auf die Anmeldedaten von E-Mail-Nutzern ab, und die Entwickler der PhaaS-Plattform scheinen sie speziell für diese Art von Angriffen konzipiert zu haben.

Bereits im Januar 2020 wurden Cyberkampagnen mit Phishing-Kits entdeckt. Die frühen Versionen waren auf Phishing-Webvorlagen für nur fünf E-Mail-Anbieter beschränkt: Gmail, Outlook, AOL, Office 365 und Yahoo. Zudem fehlte ein Übersetzungsmodul, sodass die Kits ausschließlich englischsprachige Inhalte anzeigen konnten. Mit der Zeit erweiterte Morphing Meerkat seine Vorlagenbibliothek, die inzwischen 114 verschiedene Marken umfasst. Seit Juli 2023 können die Kits Phishing-Seiten dynamisch auf Basis von DNS-MX-Einträgen laden. Heute sind sie zudem in der Lage, Inhalte anhand des Webprofils des Opfers automatisch zu übersetzen und Nutzer in über einem Dutzend Sprachen anzusprechen.

Die PhaaS-Plattform verbreitet massenhaft Spam-E-Mails mit bösartigen Links, die auch gezielt hochrangige Fachleute treffen – darunter etwa den Leiter des Netzwerkbetriebs eines großen Finanzdienstleistungsunternehmens. Die Links in diesen E-Mails führen Opfer auf speziell präparierte Phishing-Landingpages. Die Interaktion zwischen der Seite und dem Opfer variiert je nach Konfiguration des Phishing-Kits. Fortgeschrittene Versionen können Sicherheitsmaßnahmen umgehen, indem sie Nutzer zunächst auf legitime Websites weiterleiten und anschließend durch den Einsatz von DNS-MX-Datensätzen maßgeschneiderte Phishing-Seiten für den jeweiligen E-Mail-Dienst des Opfers bereitstellen.

Abbildung 2 zeigt eine vereinfachte Angriffskette von Morphing Meerkat – beginnend mit dem Start der Phishing-Kampagne über die PhaaS-Plattform bis hin zur Übermittlung der gestohlenen Anmeldedaten an einen vom Angreifer kontrollierten Speicherort. Quelle: Infoblox

DoH und DNS MX

Durch den Einsatz von DoH und DNS-MX hebt sich Morphing Meerkat von anderen Cyberkriminalitäts-Tools ab, da diese fortschrittlichen Techniken erhebliche operative Vorteile bieten.

DNS over HTTPS (DoH) ist ein Protokoll, das DNS-Anfragen über verschlüsselte HTTPS-Verbindungen statt über herkömmliche, unverschlüsselte UDP-basierte DNS-Abfragen überträgt. Dadurch wird die Erkennung und Filterung durch Sicherheitssysteme erheblich erschwert.

MX-Einträge (Mail Exchange) sind spezielle DNS-Einträge, die festlegen, welche Server für den E-Mail-Verkehr einer bestimmten Domain zuständig sind.

Sobald ein Opfer auf einen Link in einer Phishing-E-Mail klickt, lädt das Phishing-Kit in seinem Browser und führt eine DNS-Abfrage an Google oder Cloudflare durch, um die MX-Einträge der E-Mail-Domain des Opfers zu ermitteln. Dies ermöglicht es dem Kit, gezielt gefälschte Anmeldeseiten zu generieren, die speziell auf den E-Mail-Dienst des Nutzers zugeschnitten sind.

Senden einer DNS-Abfrage an Cloudflare, um den MX-Eintrag zu erhalten Quelle: Infoblox

Die Sichtbarkeit und Überwachung von Netzwerken sind essenzielle Bestandteile effektiver Unternehmenssicherheitsstrategien. Das oben genannte Prinzip dient sowohl als Warnung als auch als wertvolle Leitlinie im Bereich der Cybersicherheit: Wenn ein Sicherheitssystem eine Bedrohung nicht sehen kann, kann es sie auch nicht erkennen. Genau aus diesem Grund bleiben viele fortschrittliche, hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) über Jahre hinweg unentdeckt und infiltrieren Unternehmensnetzwerke.

Diese Hartnäckigkeit ist jedoch nicht nur auf staatlich gesteuerte Bedrohungsakteure beschränkt. Frühere Analysen haben gezeigt, dass weitverbreitete Angriffe wie VexTrio Viper seit fast einem Jahrzehnt ein bösartiges Affiliate-Netzwerk betreiben und schädliche Webinhalte verbreiten. Indem sie ihre Infrastruktur ähnlich wie legitime Werbenetzwerke aufbauen, verbergen sie ihre Kommunikation im DNS und setzen fortschrittliche Tarntechniken ein.

Morphing Meerkat ist ein weiteres Beispiel für eine langanhaltende und schwer erkennbare Cyberbedrohung, die gezielt Sicherheitslücken ausnutzt. Die Betreiber nutzen offene Weiterleitungen in Adtech, verschlüsselte DoH-Kommunikation und populäre Dateifreigabedienste, um Schutzmechanismen zu umgehen.

Unternehmen können sich gegen derartige Angriffe schützen, indem sie ihre Netzwerksicherheit mit einer robusten DNS-Schutzschicht verstärken. Dazu gehören Maßnahmen wie:

  • Strengere DNS-Kontrollen, um die Kommunikation mit DoH-Servern zu unterbinden

  • Einschränkung oder Sperrung des Zugriffs auf Adtech- und Filesharing-Infrastrukturen, die für das Unternehmen nicht essenziell sind

Durch die Reduzierung unnötiger Dienste innerhalb des Netzwerks verkleinern Unternehmen ihre Angriffsfläche und erschweren es Cyberkriminellen, ihre Bedrohungen zu verbreiten.

Die vollständigen Indikatoren für Kompromittierungen (IoC), die mit der Aktivität von Morphing Meerkat in Verbindung stehen, wurden in diesem GitHub-Repository veröffentlicht.

Fachartikel

Featured image for “Wenn Angreifer selbst zum Ziel werden: Wie Forscher eine Infostealer-Infrastruktur kompromittierten”

Wenn Angreifer selbst zum Ziel werden: Wie Forscher eine Infostealer-Infrastruktur kompromittierten

Featured image for “Mehr Gesetze, mehr Druck: Was bei NIS2, CRA, DORA & Co. am Ende zählt”

Mehr Gesetze, mehr Druck: Was bei NIS2, CRA, DORA & Co. am Ende zählt

Featured image for “WinDbg-UI blockiert beim Kopieren: Ursachenforschung führt zu Zwischenablage-Deadlock in virtuellen Umgebungen”

WinDbg-UI blockiert beim Kopieren: Ursachenforschung führt zu Zwischenablage-Deadlock in virtuellen Umgebungen

Featured image for “RISE with SAP: Wie Sicherheitsmaßnahmen den Return on Investment sichern”

RISE with SAP: Wie Sicherheitsmaßnahmen den Return on Investment sichern

Featured image for “Jailbreaking: Die unterschätzte Sicherheitslücke moderner KI-Systeme”

Jailbreaking: Die unterschätzte Sicherheitslücke moderner KI-Systeme

Studien

Featured image for “Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland”

Deutsche Unicorn-Gründer bevorzugen zunehmend den Standort Deutschland

Featured image for “IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit”

IT-Modernisierung entscheidet über KI-Erfolg und Cybersicherheit

Featured image for “Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen”

Neue ISACA-Studie: Datenschutzbudgets werden trotz steigender Risiken voraussichtlich schrumpfen

Featured image for “Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten”

Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten

Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”

Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum

Whitepaper

Featured image for “ETSI veröffentlicht weltweit führenden Standard für die Sicherung von KI”

ETSI veröffentlicht weltweit führenden Standard für die Sicherung von KI

Featured image for “Allianz Risk Barometer 2026: Cyberrisiken führen das Ranking an, KI rückt auf Platz zwei vor”

Allianz Risk Barometer 2026: Cyberrisiken führen das Ranking an, KI rückt auf Platz zwei vor

Featured image for “Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten”

Cybersecurity-Jahresrückblick: Wie KI-Agenten und OAuth-Lücken die Bedrohungslandschaft 2025 veränderten

Featured image for “NIS2-Richtlinie im Gesundheitswesen: Praxisleitfaden für die Geschäftsführung”

NIS2-Richtlinie im Gesundheitswesen: Praxisleitfaden für die Geschäftsführung

Featured image for “Datenschutzkonformer KI-Einsatz in Bundesbehörden: Neue Handreichung gibt Orientierung”

Datenschutzkonformer KI-Einsatz in Bundesbehörden: Neue Handreichung gibt Orientierung

Hamsterrad-Rebell

Featured image for “Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen”

Cyberversicherung ohne Datenbasis? Warum CIOs und CISOs jetzt auf quantifizierbare Risikomodelle setzen müssen

Featured image for “Identity Security Posture Management (ISPM): Rettung oder Hype?”

Identity Security Posture Management (ISPM): Rettung oder Hype?

Featured image for “Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern”

Platform Security: Warum ERP-Systeme besondere Sicherheitsmaßnahmen erfordern

Featured image for “Daten in eigener Hand: Europas Souveränität im Fokus”

Daten in eigener Hand: Europas Souveränität im Fokus

Featured image for “Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS)”

Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS)