Share
Beitragsbild zu Ein Phishing-as-a-Service-Dienst nutzt DNS-over-HTTPS, um Sicherheitsmaßnahmen zu umgehen

Ein Phishing-as-a-Service-Dienst nutzt DNS-over-HTTPS, um Sicherheitsmaßnahmen zu umgehen

29. März 2025

Eine neu entdeckte Phishing-as-a-Service-Plattform (PhaaS) namens „Morphing Meerkat“ nutzt das DNS-over-HTTPS-Protokoll (DoH), um der Entdeckung zu entgehen. Zudem setzt sie DNS-Mail-Exchange-Datensätze (MX) ein, um die E-Mail-Anbieter der Opfer zu identifizieren und dynamisch täuschend echte Anmeldeseiten für über 114 Marken zu generieren. Morphing Meerkat ist seit mindestens 2020 aktiv und wurde von Sicherheitsforschern bei Infoblox aufgedeckt. Trotz vereinzelter Dokumentationen blieb die Bedrohung über Jahre hinweg weitgehend unbemerkt.

Die Phishing-as-a-Service-Plattform (PhaaS) „Morphing Meerkat“ ist hochentwickelt und bietet ihren Nutzern leistungsstarke Funktionen, darunter die massenhafte Versendung von Spam. Sie ist speziell darauf ausgelegt, herkömmliche Sicherheitsmaßnahmen zu umgehen und Phishing-Kampagnen effektiver zu gestalten.

Zu den Hauptfunktionen der Plattform gehören:

  • Weiterleitung von Internetnutzern zu Phishing-Inhalten über kompromittierte WordPress-Websites

  • Ausnutzung offener Umleitungsschwachstellen auf Adtech-Servern zur Umgehung von E-Mail-Sicherheitssystemen

  • Verwendung von DNS-MX-Datensätzen zur Identifikation des E-Mail-Dienstanbieters des Opfers und dynamischen Erstellung gefälschter Anmeldeseiten

  • Bereitstellung gestohlener Anmeldedaten über verschiedene Kanäle, darunter E-Mail- und Chat-Messaging-Dienste

  • Dynamische Übersetzung von Phishing-Inhalten in über ein Dutzend Sprachen, um eine weltweite Zielgruppe zu erreichen

  • Verschleierung des Phishing-Codes zur Vermeidung von Entdeckung

  • Täuschung verdächtiger Nutzer durch Weiterleitung auf legitime Anmeldeseiten

Die folgenden Abschnitte dieses Berichts analysieren detailliert die Angriffe von Morphing Meerkat sowie die eingesetzten Taktiken, Techniken und Tools (TTPs). Infoblox untersuche fortschrittliche Methoden, mit denen die Plattform E-Mail- und Phishing-Sicherheitsmaßnahmen umgeht und groß angelegte Spam-Kampagnen durchführt. Insgesamt ermöglicht Morphing Meerkat sowohl technisch versierten als auch weniger erfahrenen Cyberkriminellen die Durchführung weitreichender und äußerst effektiver Phishing-Angriffe.

Die Phishing-Kits dieser Kampagnen haben sich im Laufe der Zeit weiterentwickelt und verfeinert. Dennoch lässt sich ihre grundlegende Code-Struktur weiterhin erkennen, sodass ihre Entwicklung durch die Analyse kritischer Web-Artefakte nachverfolgt werden konnte. Fast alle Angriffe von Morphing Meerkat zielen auf die Anmeldedaten von E-Mail-Nutzern ab, und die Entwickler der PhaaS-Plattform scheinen sie speziell für diese Art von Angriffen konzipiert zu haben.

Bereits im Januar 2020 wurden Cyberkampagnen mit Phishing-Kits entdeckt. Die frühen Versionen waren auf Phishing-Webvorlagen für nur fünf E-Mail-Anbieter beschränkt: Gmail, Outlook, AOL, Office 365 und Yahoo. Zudem fehlte ein Übersetzungsmodul, sodass die Kits ausschließlich englischsprachige Inhalte anzeigen konnten. Mit der Zeit erweiterte Morphing Meerkat seine Vorlagenbibliothek, die inzwischen 114 verschiedene Marken umfasst. Seit Juli 2023 können die Kits Phishing-Seiten dynamisch auf Basis von DNS-MX-Einträgen laden. Heute sind sie zudem in der Lage, Inhalte anhand des Webprofils des Opfers automatisch zu übersetzen und Nutzer in über einem Dutzend Sprachen anzusprechen.

Die PhaaS-Plattform verbreitet massenhaft Spam-E-Mails mit bösartigen Links, die auch gezielt hochrangige Fachleute treffen – darunter etwa den Leiter des Netzwerkbetriebs eines großen Finanzdienstleistungsunternehmens. Die Links in diesen E-Mails führen Opfer auf speziell präparierte Phishing-Landingpages. Die Interaktion zwischen der Seite und dem Opfer variiert je nach Konfiguration des Phishing-Kits. Fortgeschrittene Versionen können Sicherheitsmaßnahmen umgehen, indem sie Nutzer zunächst auf legitime Websites weiterleiten und anschließend durch den Einsatz von DNS-MX-Datensätzen maßgeschneiderte Phishing-Seiten für den jeweiligen E-Mail-Dienst des Opfers bereitstellen.

Abbildung 2 zeigt eine vereinfachte Angriffskette von Morphing Meerkat – beginnend mit dem Start der Phishing-Kampagne über die PhaaS-Plattform bis hin zur Übermittlung der gestohlenen Anmeldedaten an einen vom Angreifer kontrollierten Speicherort. Quelle: Infoblox

DoH und DNS MX

Durch den Einsatz von DoH und DNS-MX hebt sich Morphing Meerkat von anderen Cyberkriminalitäts-Tools ab, da diese fortschrittlichen Techniken erhebliche operative Vorteile bieten.

DNS over HTTPS (DoH) ist ein Protokoll, das DNS-Anfragen über verschlüsselte HTTPS-Verbindungen statt über herkömmliche, unverschlüsselte UDP-basierte DNS-Abfragen überträgt. Dadurch wird die Erkennung und Filterung durch Sicherheitssysteme erheblich erschwert.

MX-Einträge (Mail Exchange) sind spezielle DNS-Einträge, die festlegen, welche Server für den E-Mail-Verkehr einer bestimmten Domain zuständig sind.

Sobald ein Opfer auf einen Link in einer Phishing-E-Mail klickt, lädt das Phishing-Kit in seinem Browser und führt eine DNS-Abfrage an Google oder Cloudflare durch, um die MX-Einträge der E-Mail-Domain des Opfers zu ermitteln. Dies ermöglicht es dem Kit, gezielt gefälschte Anmeldeseiten zu generieren, die speziell auf den E-Mail-Dienst des Nutzers zugeschnitten sind.

Senden einer DNS-Abfrage an Cloudflare, um den MX-Eintrag zu erhalten Quelle: Infoblox

Die Sichtbarkeit und Überwachung von Netzwerken sind essenzielle Bestandteile effektiver Unternehmenssicherheitsstrategien. Das oben genannte Prinzip dient sowohl als Warnung als auch als wertvolle Leitlinie im Bereich der Cybersicherheit: Wenn ein Sicherheitssystem eine Bedrohung nicht sehen kann, kann es sie auch nicht erkennen. Genau aus diesem Grund bleiben viele fortschrittliche, hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) über Jahre hinweg unentdeckt und infiltrieren Unternehmensnetzwerke.

Diese Hartnäckigkeit ist jedoch nicht nur auf staatlich gesteuerte Bedrohungsakteure beschränkt. Frühere Analysen haben gezeigt, dass weitverbreitete Angriffe wie VexTrio Viper seit fast einem Jahrzehnt ein bösartiges Affiliate-Netzwerk betreiben und schädliche Webinhalte verbreiten. Indem sie ihre Infrastruktur ähnlich wie legitime Werbenetzwerke aufbauen, verbergen sie ihre Kommunikation im DNS und setzen fortschrittliche Tarntechniken ein.

Morphing Meerkat ist ein weiteres Beispiel für eine langanhaltende und schwer erkennbare Cyberbedrohung, die gezielt Sicherheitslücken ausnutzt. Die Betreiber nutzen offene Weiterleitungen in Adtech, verschlüsselte DoH-Kommunikation und populäre Dateifreigabedienste, um Schutzmechanismen zu umgehen.

Unternehmen können sich gegen derartige Angriffe schützen, indem sie ihre Netzwerksicherheit mit einer robusten DNS-Schutzschicht verstärken. Dazu gehören Maßnahmen wie:

  • Strengere DNS-Kontrollen, um die Kommunikation mit DoH-Servern zu unterbinden

  • Einschränkung oder Sperrung des Zugriffs auf Adtech- und Filesharing-Infrastrukturen, die für das Unternehmen nicht essenziell sind

Durch die Reduzierung unnötiger Dienste innerhalb des Netzwerks verkleinern Unternehmen ihre Angriffsfläche und erschweren es Cyberkriminellen, ihre Bedrohungen zu verbreiten.

Die vollständigen Indikatoren für Kompromittierungen (IoC), die mit der Aktivität von Morphing Meerkat in Verbindung stehen, wurden in diesem GitHub-Repository veröffentlicht.

Fachartikel

Featured image for “AWS Security Hub: Echtzeit-Risikoanalyse und automatisierte Bedrohungskorrelation jetzt verfügbar”

AWS Security Hub: Echtzeit-Risikoanalyse und automatisierte Bedrohungskorrelation jetzt verfügbar

Featured image for “Sicherheitslücke: OpenAI Codex CLI führt versteckte Befehle aus Repository-Dateien aus”

Sicherheitslücke: OpenAI Codex CLI führt versteckte Befehle aus Repository-Dateien aus

Featured image for “Rekord-Botnet Aisuru: DDoS-Angriffe erreichen 29,7 Terabit pro Sekunde”

Rekord-Botnet Aisuru: DDoS-Angriffe erreichen 29,7 Terabit pro Sekunde

Featured image for “Wann Cyberoperationen die Grenze überschreiten: 7 kritische Warnsignale für unverantwortliches Verhalten”

Wann Cyberoperationen die Grenze überschreiten: 7 kritische Warnsignale für unverantwortliches Verhalten

Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”

Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum

Studien

Featured image for “Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum”

Phishing-Studie deckt auf: [EXTERN]-Markierung schützt Klinikpersonal kaum

Featured image for “Gartner-Umfrage: Mehrheit der nicht geschäftsführenden Direktoren zweifelt am wirtschaftlichen Wert von Cybersicherheit”

Gartner-Umfrage: Mehrheit der nicht geschäftsführenden Direktoren zweifelt am wirtschaftlichen Wert von Cybersicherheit

Featured image for “49 Prozent der IT-Verantwortlichen in Sicherheitsirrtum”

49 Prozent der IT-Verantwortlichen in Sicherheitsirrtum

Featured image for “Deutschland im Glasfaserausbau international abgehängt”

Deutschland im Glasfaserausbau international abgehängt

Featured image for “NIS2 kommt – Proliance-Studie zeigt die Lage im Mittelstand”

NIS2 kommt – Proliance-Studie zeigt die Lage im Mittelstand

Whitepaper

Featured image for “BSI definiert neue Sicherheitsstandards für Webmail-Dienste”

BSI definiert neue Sicherheitsstandards für Webmail-Dienste

Featured image for “CISA gibt Handlungsempfehlungen gegen Bulletproof-Hosting heraus: So schützen sich ISPs vor Cyberkriminellen”

CISA gibt Handlungsempfehlungen gegen Bulletproof-Hosting heraus: So schützen sich ISPs vor Cyberkriminellen

Featured image for “Digitale Transformation erhöht das Cyberrisiko im Finanzsektor”

Digitale Transformation erhöht das Cyberrisiko im Finanzsektor

Featured image for “Industrial AI: KI als Treiber der Wettbewerbsfähigkeit”

Industrial AI: KI als Treiber der Wettbewerbsfähigkeit

Featured image for “Vorbereitung auf künftige Cyberbedrohungen: Google veröffentlicht „Cybersecurity Forecast 2026“”

Vorbereitung auf künftige Cyberbedrohungen: Google veröffentlicht „Cybersecurity Forecast 2026“

Hamsterrad-Rebell

Featured image for “Daten in eigener Hand: Europas Souveränität im Fokus”

Daten in eigener Hand: Europas Souveränität im Fokus

Featured image for “Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS)”

Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS)

Featured image for “Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme”

Identity und Access Management (IAM) im Zeitalter der KI-Agenten: Sichere Integration von KI in Unternehmenssysteme

Featured image for “Infoblox zeigt praxisnahe IT-Security-Strategien auf it-sa 2025 und exklusivem Führungskräfte-Event in Frankfurt”

Infoblox zeigt praxisnahe IT-Security-Strategien auf it-sa 2025 und exklusivem Führungskräfte-Event in Frankfurt

Featured image for “IT-Security Konferenz in Nürnberg: qSkills Security Summit 2025 setzt auf Handeln statt Zögern”

IT-Security Konferenz in Nürnberg: qSkills Security Summit 2025 setzt auf Handeln statt Zögern