Eine neu entdeckte Phishing-as-a-Service-Plattform (PhaaS) namens „Morphing Meerkat“ nutzt das DNS-over-HTTPS-Protokoll (DoH), um der Entdeckung zu entgehen. Zudem setzt sie DNS-Mail-Exchange-Datensätze (MX) ein, um die E-Mail-Anbieter der Opfer zu identifizieren und dynamisch täuschend echte Anmeldeseiten für über 114 Marken zu generieren. Morphing Meerkat ist seit mindestens 2020 aktiv und wurde von Sicherheitsforschern bei Infoblox aufgedeckt. Trotz vereinzelter Dokumentationen blieb die Bedrohung über Jahre hinweg weitgehend unbemerkt.
Die Phishing-as-a-Service-Plattform (PhaaS) „Morphing Meerkat“ ist hochentwickelt und bietet ihren Nutzern leistungsstarke Funktionen, darunter die massenhafte Versendung von Spam. Sie ist speziell darauf ausgelegt, herkömmliche Sicherheitsmaßnahmen zu umgehen und Phishing-Kampagnen effektiver zu gestalten.
Zu den Hauptfunktionen der Plattform gehören:
-
Weiterleitung von Internetnutzern zu Phishing-Inhalten über kompromittierte WordPress-Websites
-
Ausnutzung offener Umleitungsschwachstellen auf Adtech-Servern zur Umgehung von E-Mail-Sicherheitssystemen
-
Verwendung von DNS-MX-Datensätzen zur Identifikation des E-Mail-Dienstanbieters des Opfers und dynamischen Erstellung gefälschter Anmeldeseiten
-
Bereitstellung gestohlener Anmeldedaten über verschiedene Kanäle, darunter E-Mail- und Chat-Messaging-Dienste
-
Dynamische Übersetzung von Phishing-Inhalten in über ein Dutzend Sprachen, um eine weltweite Zielgruppe zu erreichen
-
Verschleierung des Phishing-Codes zur Vermeidung von Entdeckung
-
Täuschung verdächtiger Nutzer durch Weiterleitung auf legitime Anmeldeseiten
Die folgenden Abschnitte dieses Berichts analysieren detailliert die Angriffe von Morphing Meerkat sowie die eingesetzten Taktiken, Techniken und Tools (TTPs). Infoblox untersuche fortschrittliche Methoden, mit denen die Plattform E-Mail- und Phishing-Sicherheitsmaßnahmen umgeht und groß angelegte Spam-Kampagnen durchführt. Insgesamt ermöglicht Morphing Meerkat sowohl technisch versierten als auch weniger erfahrenen Cyberkriminellen die Durchführung weitreichender und äußerst effektiver Phishing-Angriffe.
Die Phishing-Kits dieser Kampagnen haben sich im Laufe der Zeit weiterentwickelt und verfeinert. Dennoch lässt sich ihre grundlegende Code-Struktur weiterhin erkennen, sodass ihre Entwicklung durch die Analyse kritischer Web-Artefakte nachverfolgt werden konnte. Fast alle Angriffe von Morphing Meerkat zielen auf die Anmeldedaten von E-Mail-Nutzern ab, und die Entwickler der PhaaS-Plattform scheinen sie speziell für diese Art von Angriffen konzipiert zu haben.
Bereits im Januar 2020 wurden Cyberkampagnen mit Phishing-Kits entdeckt. Die frühen Versionen waren auf Phishing-Webvorlagen für nur fünf E-Mail-Anbieter beschränkt: Gmail, Outlook, AOL, Office 365 und Yahoo. Zudem fehlte ein Übersetzungsmodul, sodass die Kits ausschließlich englischsprachige Inhalte anzeigen konnten. Mit der Zeit erweiterte Morphing Meerkat seine Vorlagenbibliothek, die inzwischen 114 verschiedene Marken umfasst. Seit Juli 2023 können die Kits Phishing-Seiten dynamisch auf Basis von DNS-MX-Einträgen laden. Heute sind sie zudem in der Lage, Inhalte anhand des Webprofils des Opfers automatisch zu übersetzen und Nutzer in über einem Dutzend Sprachen anzusprechen.
Die PhaaS-Plattform verbreitet massenhaft Spam-E-Mails mit bösartigen Links, die auch gezielt hochrangige Fachleute treffen – darunter etwa den Leiter des Netzwerkbetriebs eines großen Finanzdienstleistungsunternehmens. Die Links in diesen E-Mails führen Opfer auf speziell präparierte Phishing-Landingpages. Die Interaktion zwischen der Seite und dem Opfer variiert je nach Konfiguration des Phishing-Kits. Fortgeschrittene Versionen können Sicherheitsmaßnahmen umgehen, indem sie Nutzer zunächst auf legitime Websites weiterleiten und anschließend durch den Einsatz von DNS-MX-Datensätzen maßgeschneiderte Phishing-Seiten für den jeweiligen E-Mail-Dienst des Opfers bereitstellen.
Abbildung 2 zeigt eine vereinfachte Angriffskette von Morphing Meerkat – beginnend mit dem Start der Phishing-Kampagne über die PhaaS-Plattform bis hin zur Übermittlung der gestohlenen Anmeldedaten an einen vom Angreifer kontrollierten Speicherort. Quelle: Infoblox
DoH und DNS MX
Durch den Einsatz von DoH und DNS-MX hebt sich Morphing Meerkat von anderen Cyberkriminalitäts-Tools ab, da diese fortschrittlichen Techniken erhebliche operative Vorteile bieten.
DNS over HTTPS (DoH) ist ein Protokoll, das DNS-Anfragen über verschlüsselte HTTPS-Verbindungen statt über herkömmliche, unverschlüsselte UDP-basierte DNS-Abfragen überträgt. Dadurch wird die Erkennung und Filterung durch Sicherheitssysteme erheblich erschwert.
MX-Einträge (Mail Exchange) sind spezielle DNS-Einträge, die festlegen, welche Server für den E-Mail-Verkehr einer bestimmten Domain zuständig sind.
Sobald ein Opfer auf einen Link in einer Phishing-E-Mail klickt, lädt das Phishing-Kit in seinem Browser und führt eine DNS-Abfrage an Google oder Cloudflare durch, um die MX-Einträge der E-Mail-Domain des Opfers zu ermitteln. Dies ermöglicht es dem Kit, gezielt gefälschte Anmeldeseiten zu generieren, die speziell auf den E-Mail-Dienst des Nutzers zugeschnitten sind.
Senden einer DNS-Abfrage an Cloudflare, um den MX-Eintrag zu erhalten Quelle: Infoblox
Die Sichtbarkeit und Überwachung von Netzwerken sind essenzielle Bestandteile effektiver Unternehmenssicherheitsstrategien. Das oben genannte Prinzip dient sowohl als Warnung als auch als wertvolle Leitlinie im Bereich der Cybersicherheit: Wenn ein Sicherheitssystem eine Bedrohung nicht sehen kann, kann es sie auch nicht erkennen. Genau aus diesem Grund bleiben viele fortschrittliche, hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) über Jahre hinweg unentdeckt und infiltrieren Unternehmensnetzwerke.
Diese Hartnäckigkeit ist jedoch nicht nur auf staatlich gesteuerte Bedrohungsakteure beschränkt. Frühere Analysen haben gezeigt, dass weitverbreitete Angriffe wie VexTrio Viper seit fast einem Jahrzehnt ein bösartiges Affiliate-Netzwerk betreiben und schädliche Webinhalte verbreiten. Indem sie ihre Infrastruktur ähnlich wie legitime Werbenetzwerke aufbauen, verbergen sie ihre Kommunikation im DNS und setzen fortschrittliche Tarntechniken ein.
Morphing Meerkat ist ein weiteres Beispiel für eine langanhaltende und schwer erkennbare Cyberbedrohung, die gezielt Sicherheitslücken ausnutzt. Die Betreiber nutzen offene Weiterleitungen in Adtech, verschlüsselte DoH-Kommunikation und populäre Dateifreigabedienste, um Schutzmechanismen zu umgehen.
Unternehmen können sich gegen derartige Angriffe schützen, indem sie ihre Netzwerksicherheit mit einer robusten DNS-Schutzschicht verstärken. Dazu gehören Maßnahmen wie:
-
Strengere DNS-Kontrollen, um die Kommunikation mit DoH-Servern zu unterbinden
-
Einschränkung oder Sperrung des Zugriffs auf Adtech- und Filesharing-Infrastrukturen, die für das Unternehmen nicht essenziell sind
Durch die Reduzierung unnötiger Dienste innerhalb des Netzwerks verkleinern Unternehmen ihre Angriffsfläche und erschweren es Cyberkriminellen, ihre Bedrohungen zu verbreiten.
Die vollständigen Indikatoren für Kompromittierungen (IoC), die mit der Aktivität von Morphing Meerkat in Verbindung stehen, wurden in diesem GitHub-Repository veröffentlicht.
Bild/Quelle: https://depositphotos.com/de/home.html
Fachartikel
Zehn Dinge, die Sie gestern hätten tun müssen, um die NIS2-Vorschriften einzuhalten
Pentera API-Sicherheitsautomatisierung: Erweiterte Anwendungsfälle für Cybersicherheit
Rückblick auf CH4TTER: Erkenntnisse ein Jahr nach der Veröffentlichung des SAP Threat Landscape Reports
Sicherung von SAP BTP – Bedrohungsüberwachung: Erkennung unbefugter Änderungen und Anzeichen für Kompromittierung
Was ist Active Directory-Sicherheit?
Studien
DefTech-Startups: Deutschland kann sich derzeit kaum verteidigen
Gartner-Umfrage: 85 % der CEOs geben an, dass Cybersicherheit für das Unternehmenswachstum entscheidend ist
Studie: Mehrheit der beliebten Chrome-Erweiterungen mit riskanten Berechtigungen
Kubernetes etabliert sich in der Wirtschaft – Neue Studie liefert überraschende Details
Studie zu Cyberangriffen auf Versorgungsunternehmen
Whitepaper
FBI: USA verlieren 2024 Rekordbetrag von 16,6 Milliarden US-Dollar durch Cyberkriminalität
EMEA-Region im Fokus: Systemangriffe laut Verizon-Report 2025 verdoppelt
IBM X-Force Threat Index 2025: Groß angelegter Diebstahl von Zugangsdaten eskaliert, Angreifer wenden sich heimtückischeren Taktiken zu
Kuppinger-Cole-Analyse zeigt: CIAM als Schlüsselelement der digitalen Transformation
Smart Security: IT- und Sicherheitsteams kommen langfristig nicht mehr ohne KI aus
Hamsterrad-Rebell
Cybersicherheit im Mittelstand: Kostenfreie Hilfe für Unternehmen
Anmeldeinformationen und credential-basierte Angriffe
Vermeiden Sie, dass unbekannte Apps unnötige Gefahren für Ihre Organisation verursachen
Data Security Posture Management – Warum ist DSPM wichtig?
