Share
Beitragsbild zu Ein Phishing-as-a-Service-Dienst nutzt DNS-over-HTTPS, um Sicherheitsmaßnahmen zu umgehen

Ein Phishing-as-a-Service-Dienst nutzt DNS-over-HTTPS, um Sicherheitsmaßnahmen zu umgehen

29. März 2025

Eine neu entdeckte Phishing-as-a-Service-Plattform (PhaaS) namens „Morphing Meerkat“ nutzt das DNS-over-HTTPS-Protokoll (DoH), um der Entdeckung zu entgehen. Zudem setzt sie DNS-Mail-Exchange-Datensätze (MX) ein, um die E-Mail-Anbieter der Opfer zu identifizieren und dynamisch täuschend echte Anmeldeseiten für über 114 Marken zu generieren. Morphing Meerkat ist seit mindestens 2020 aktiv und wurde von Sicherheitsforschern bei Infoblox aufgedeckt. Trotz vereinzelter Dokumentationen blieb die Bedrohung über Jahre hinweg weitgehend unbemerkt.

Die Phishing-as-a-Service-Plattform (PhaaS) „Morphing Meerkat“ ist hochentwickelt und bietet ihren Nutzern leistungsstarke Funktionen, darunter die massenhafte Versendung von Spam. Sie ist speziell darauf ausgelegt, herkömmliche Sicherheitsmaßnahmen zu umgehen und Phishing-Kampagnen effektiver zu gestalten.

Zu den Hauptfunktionen der Plattform gehören:

  • Weiterleitung von Internetnutzern zu Phishing-Inhalten über kompromittierte WordPress-Websites

  • Ausnutzung offener Umleitungsschwachstellen auf Adtech-Servern zur Umgehung von E-Mail-Sicherheitssystemen

  • Verwendung von DNS-MX-Datensätzen zur Identifikation des E-Mail-Dienstanbieters des Opfers und dynamischen Erstellung gefälschter Anmeldeseiten

  • Bereitstellung gestohlener Anmeldedaten über verschiedene Kanäle, darunter E-Mail- und Chat-Messaging-Dienste

  • Dynamische Übersetzung von Phishing-Inhalten in über ein Dutzend Sprachen, um eine weltweite Zielgruppe zu erreichen

  • Verschleierung des Phishing-Codes zur Vermeidung von Entdeckung

  • Täuschung verdächtiger Nutzer durch Weiterleitung auf legitime Anmeldeseiten

Die folgenden Abschnitte dieses Berichts analysieren detailliert die Angriffe von Morphing Meerkat sowie die eingesetzten Taktiken, Techniken und Tools (TTPs). Infoblox untersuche fortschrittliche Methoden, mit denen die Plattform E-Mail- und Phishing-Sicherheitsmaßnahmen umgeht und groß angelegte Spam-Kampagnen durchführt. Insgesamt ermöglicht Morphing Meerkat sowohl technisch versierten als auch weniger erfahrenen Cyberkriminellen die Durchführung weitreichender und äußerst effektiver Phishing-Angriffe.

Die Phishing-Kits dieser Kampagnen haben sich im Laufe der Zeit weiterentwickelt und verfeinert. Dennoch lässt sich ihre grundlegende Code-Struktur weiterhin erkennen, sodass ihre Entwicklung durch die Analyse kritischer Web-Artefakte nachverfolgt werden konnte. Fast alle Angriffe von Morphing Meerkat zielen auf die Anmeldedaten von E-Mail-Nutzern ab, und die Entwickler der PhaaS-Plattform scheinen sie speziell für diese Art von Angriffen konzipiert zu haben.

Bereits im Januar 2020 wurden Cyberkampagnen mit Phishing-Kits entdeckt. Die frühen Versionen waren auf Phishing-Webvorlagen für nur fünf E-Mail-Anbieter beschränkt: Gmail, Outlook, AOL, Office 365 und Yahoo. Zudem fehlte ein Übersetzungsmodul, sodass die Kits ausschließlich englischsprachige Inhalte anzeigen konnten. Mit der Zeit erweiterte Morphing Meerkat seine Vorlagenbibliothek, die inzwischen 114 verschiedene Marken umfasst. Seit Juli 2023 können die Kits Phishing-Seiten dynamisch auf Basis von DNS-MX-Einträgen laden. Heute sind sie zudem in der Lage, Inhalte anhand des Webprofils des Opfers automatisch zu übersetzen und Nutzer in über einem Dutzend Sprachen anzusprechen.

Die PhaaS-Plattform verbreitet massenhaft Spam-E-Mails mit bösartigen Links, die auch gezielt hochrangige Fachleute treffen – darunter etwa den Leiter des Netzwerkbetriebs eines großen Finanzdienstleistungsunternehmens. Die Links in diesen E-Mails führen Opfer auf speziell präparierte Phishing-Landingpages. Die Interaktion zwischen der Seite und dem Opfer variiert je nach Konfiguration des Phishing-Kits. Fortgeschrittene Versionen können Sicherheitsmaßnahmen umgehen, indem sie Nutzer zunächst auf legitime Websites weiterleiten und anschließend durch den Einsatz von DNS-MX-Datensätzen maßgeschneiderte Phishing-Seiten für den jeweiligen E-Mail-Dienst des Opfers bereitstellen.

Abbildung 2 zeigt eine vereinfachte Angriffskette von Morphing Meerkat – beginnend mit dem Start der Phishing-Kampagne über die PhaaS-Plattform bis hin zur Übermittlung der gestohlenen Anmeldedaten an einen vom Angreifer kontrollierten Speicherort. Quelle: Infoblox

DoH und DNS MX

Durch den Einsatz von DoH und DNS-MX hebt sich Morphing Meerkat von anderen Cyberkriminalitäts-Tools ab, da diese fortschrittlichen Techniken erhebliche operative Vorteile bieten.

DNS over HTTPS (DoH) ist ein Protokoll, das DNS-Anfragen über verschlüsselte HTTPS-Verbindungen statt über herkömmliche, unverschlüsselte UDP-basierte DNS-Abfragen überträgt. Dadurch wird die Erkennung und Filterung durch Sicherheitssysteme erheblich erschwert.

MX-Einträge (Mail Exchange) sind spezielle DNS-Einträge, die festlegen, welche Server für den E-Mail-Verkehr einer bestimmten Domain zuständig sind.

Sobald ein Opfer auf einen Link in einer Phishing-E-Mail klickt, lädt das Phishing-Kit in seinem Browser und führt eine DNS-Abfrage an Google oder Cloudflare durch, um die MX-Einträge der E-Mail-Domain des Opfers zu ermitteln. Dies ermöglicht es dem Kit, gezielt gefälschte Anmeldeseiten zu generieren, die speziell auf den E-Mail-Dienst des Nutzers zugeschnitten sind.

Senden einer DNS-Abfrage an Cloudflare, um den MX-Eintrag zu erhalten Quelle: Infoblox

Die Sichtbarkeit und Überwachung von Netzwerken sind essenzielle Bestandteile effektiver Unternehmenssicherheitsstrategien. Das oben genannte Prinzip dient sowohl als Warnung als auch als wertvolle Leitlinie im Bereich der Cybersicherheit: Wenn ein Sicherheitssystem eine Bedrohung nicht sehen kann, kann es sie auch nicht erkennen. Genau aus diesem Grund bleiben viele fortschrittliche, hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) über Jahre hinweg unentdeckt und infiltrieren Unternehmensnetzwerke.

Diese Hartnäckigkeit ist jedoch nicht nur auf staatlich gesteuerte Bedrohungsakteure beschränkt. Frühere Analysen haben gezeigt, dass weitverbreitete Angriffe wie VexTrio Viper seit fast einem Jahrzehnt ein bösartiges Affiliate-Netzwerk betreiben und schädliche Webinhalte verbreiten. Indem sie ihre Infrastruktur ähnlich wie legitime Werbenetzwerke aufbauen, verbergen sie ihre Kommunikation im DNS und setzen fortschrittliche Tarntechniken ein.

Morphing Meerkat ist ein weiteres Beispiel für eine langanhaltende und schwer erkennbare Cyberbedrohung, die gezielt Sicherheitslücken ausnutzt. Die Betreiber nutzen offene Weiterleitungen in Adtech, verschlüsselte DoH-Kommunikation und populäre Dateifreigabedienste, um Schutzmechanismen zu umgehen.

Unternehmen können sich gegen derartige Angriffe schützen, indem sie ihre Netzwerksicherheit mit einer robusten DNS-Schutzschicht verstärken. Dazu gehören Maßnahmen wie:

  • Strengere DNS-Kontrollen, um die Kommunikation mit DoH-Servern zu unterbinden

  • Einschränkung oder Sperrung des Zugriffs auf Adtech- und Filesharing-Infrastrukturen, die für das Unternehmen nicht essenziell sind

Durch die Reduzierung unnötiger Dienste innerhalb des Netzwerks verkleinern Unternehmen ihre Angriffsfläche und erschweren es Cyberkriminellen, ihre Bedrohungen zu verbreiten.

Die vollständigen Indikatoren für Kompromittierungen (IoC), die mit der Aktivität von Morphing Meerkat in Verbindung stehen, wurden in diesem GitHub-Repository veröffentlicht.

Fachartikel

Featured image for “SAP Patch Day November 2025: Kritische Lücken in SQL Anywhere Monitor und SAP Solution Manager geschlossen”

SAP Patch Day November 2025: Kritische Lücken in SQL Anywhere Monitor und SAP Solution Manager geschlossen

Featured image for “Nordkoreanische APT-Gruppe missbraucht Google Find Hub für Fernlösch-Angriffe auf Android-Geräte”

Nordkoreanische APT-Gruppe missbraucht Google Find Hub für Fernlösch-Angriffe auf Android-Geräte

Featured image for “DNS-Ausfallsicherheit entscheidet über die Unternehmenskontinuität”

DNS-Ausfallsicherheit entscheidet über die Unternehmenskontinuität

Featured image for “Leitfaden für CISOs: Schutz vor Identitätsdiebstahl in sozialen Medien”

Leitfaden für CISOs: Schutz vor Identitätsdiebstahl in sozialen Medien

Featured image for “Das Chaos der SIEM-Konsolidierung beweist: Es gibt keine Einheitslösung”

Das Chaos der SIEM-Konsolidierung beweist: Es gibt keine Einheitslösung

Studien

Featured image for “Forrester veröffentlicht Technologie- und Sicherheitsprognosen für 2026”

Forrester veröffentlicht Technologie- und Sicherheitsprognosen für 2026

Featured image for “Zunahme KI-gestützter Cyberbedrohungen im Fertigungssektor”

Zunahme KI-gestützter Cyberbedrohungen im Fertigungssektor

Featured image for “KnowBe4-Studie: Personalisierte Phishing-E-Mails setzen auf die Verwendung von Firmennamen”

KnowBe4-Studie: Personalisierte Phishing-E-Mails setzen auf die Verwendung von Firmennamen

Featured image for “Neue Studie: Mehrheit der US-Großunternehmen meldet KI-Risiken”

Neue Studie: Mehrheit der US-Großunternehmen meldet KI-Risiken

Featured image for “Studie 2025 Device Security Threat Report: Vernetzte Geräte stellen massive Sicherheitsrisiken dar”

Studie 2025 Device Security Threat Report: Vernetzte Geräte stellen massive Sicherheitsrisiken dar

Whitepaper

Featured image for “Vorbereitung auf künftige Cyberbedrohungen: Google veröffentlicht „Cybersecurity Forecast 2026“”

Vorbereitung auf künftige Cyberbedrohungen: Google veröffentlicht „Cybersecurity Forecast 2026“

Featured image for “Aktuelle Studie zeigt: Jeder Vierte in Deutschland bereits Opfer von digitalem Betrug”

Aktuelle Studie zeigt: Jeder Vierte in Deutschland bereits Opfer von digitalem Betrug

Featured image for “Cybersecurity in Deutschland: 200 Milliarden Euro Schaden trotz steigender IT-Ausgaben”

Cybersecurity in Deutschland: 200 Milliarden Euro Schaden trotz steigender IT-Ausgaben

Featured image for “Die EU bleibt weiterhin Ziel zahlreicher, sich überschneidender Bedrohungsgruppen”

Die EU bleibt weiterhin Ziel zahlreicher, sich überschneidender Bedrohungsgruppen

Featured image for “Verizon Business DBIR 2025: So können Gesundheitseinrichtungen Cyberangriffen begegnen”

Verizon Business DBIR 2025: So können Gesundheitseinrichtungen Cyberangriffen begegnen

Hamsterrad-Rebell

Featured image for “Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme”

Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme

Featured image for “Infoblox zeigt praxisnahe IT-Security-Strategien auf it-sa 2025 und exklusivem Führungskräfte-Event in Frankfurt”

Infoblox zeigt praxisnahe IT-Security-Strategien auf it-sa 2025 und exklusivem Führungskräfte-Event in Frankfurt

Featured image for “IT-Security Konferenz in Nürnberg: qSkills Security Summit 2025 setzt auf Handeln statt Zögern”

IT-Security Konferenz in Nürnberg: qSkills Security Summit 2025 setzt auf Handeln statt Zögern

Featured image for “Von Palo Alto nach Paderborn: Wie eine Initiative US-Cyberfachkräfte für Deutschland gewinnen will”

Von Palo Alto nach Paderborn: Wie eine Initiative US-Cyberfachkräfte für Deutschland gewinnen will

Featured image for “Agentenbasierte KI: Zwischen Innovation, Realität und Risiko”

Agentenbasierte KI: Zwischen Innovation, Realität und Risiko