Share
Beitragsbild zu Ein Phishing-as-a-Service-Dienst nutzt DNS-over-HTTPS, um Sicherheitsmaßnahmen zu umgehen

Ein Phishing-as-a-Service-Dienst nutzt DNS-over-HTTPS, um Sicherheitsmaßnahmen zu umgehen

29. März 2025

Eine neu entdeckte Phishing-as-a-Service-Plattform (PhaaS) namens „Morphing Meerkat“ nutzt das DNS-over-HTTPS-Protokoll (DoH), um der Entdeckung zu entgehen. Zudem setzt sie DNS-Mail-Exchange-Datensätze (MX) ein, um die E-Mail-Anbieter der Opfer zu identifizieren und dynamisch täuschend echte Anmeldeseiten für über 114 Marken zu generieren. Morphing Meerkat ist seit mindestens 2020 aktiv und wurde von Sicherheitsforschern bei Infoblox aufgedeckt. Trotz vereinzelter Dokumentationen blieb die Bedrohung über Jahre hinweg weitgehend unbemerkt.

Die Phishing-as-a-Service-Plattform (PhaaS) „Morphing Meerkat“ ist hochentwickelt und bietet ihren Nutzern leistungsstarke Funktionen, darunter die massenhafte Versendung von Spam. Sie ist speziell darauf ausgelegt, herkömmliche Sicherheitsmaßnahmen zu umgehen und Phishing-Kampagnen effektiver zu gestalten.

Zu den Hauptfunktionen der Plattform gehören:

  • Weiterleitung von Internetnutzern zu Phishing-Inhalten über kompromittierte WordPress-Websites

  • Ausnutzung offener Umleitungsschwachstellen auf Adtech-Servern zur Umgehung von E-Mail-Sicherheitssystemen

  • Verwendung von DNS-MX-Datensätzen zur Identifikation des E-Mail-Dienstanbieters des Opfers und dynamischen Erstellung gefälschter Anmeldeseiten

  • Bereitstellung gestohlener Anmeldedaten über verschiedene Kanäle, darunter E-Mail- und Chat-Messaging-Dienste

  • Dynamische Übersetzung von Phishing-Inhalten in über ein Dutzend Sprachen, um eine weltweite Zielgruppe zu erreichen

  • Verschleierung des Phishing-Codes zur Vermeidung von Entdeckung

  • Täuschung verdächtiger Nutzer durch Weiterleitung auf legitime Anmeldeseiten

Die folgenden Abschnitte dieses Berichts analysieren detailliert die Angriffe von Morphing Meerkat sowie die eingesetzten Taktiken, Techniken und Tools (TTPs). Infoblox untersuche fortschrittliche Methoden, mit denen die Plattform E-Mail- und Phishing-Sicherheitsmaßnahmen umgeht und groß angelegte Spam-Kampagnen durchführt. Insgesamt ermöglicht Morphing Meerkat sowohl technisch versierten als auch weniger erfahrenen Cyberkriminellen die Durchführung weitreichender und äußerst effektiver Phishing-Angriffe.

Die Phishing-Kits dieser Kampagnen haben sich im Laufe der Zeit weiterentwickelt und verfeinert. Dennoch lässt sich ihre grundlegende Code-Struktur weiterhin erkennen, sodass ihre Entwicklung durch die Analyse kritischer Web-Artefakte nachverfolgt werden konnte. Fast alle Angriffe von Morphing Meerkat zielen auf die Anmeldedaten von E-Mail-Nutzern ab, und die Entwickler der PhaaS-Plattform scheinen sie speziell für diese Art von Angriffen konzipiert zu haben.

Bereits im Januar 2020 wurden Cyberkampagnen mit Phishing-Kits entdeckt. Die frühen Versionen waren auf Phishing-Webvorlagen für nur fünf E-Mail-Anbieter beschränkt: Gmail, Outlook, AOL, Office 365 und Yahoo. Zudem fehlte ein Übersetzungsmodul, sodass die Kits ausschließlich englischsprachige Inhalte anzeigen konnten. Mit der Zeit erweiterte Morphing Meerkat seine Vorlagenbibliothek, die inzwischen 114 verschiedene Marken umfasst. Seit Juli 2023 können die Kits Phishing-Seiten dynamisch auf Basis von DNS-MX-Einträgen laden. Heute sind sie zudem in der Lage, Inhalte anhand des Webprofils des Opfers automatisch zu übersetzen und Nutzer in über einem Dutzend Sprachen anzusprechen.

Die PhaaS-Plattform verbreitet massenhaft Spam-E-Mails mit bösartigen Links, die auch gezielt hochrangige Fachleute treffen – darunter etwa den Leiter des Netzwerkbetriebs eines großen Finanzdienstleistungsunternehmens. Die Links in diesen E-Mails führen Opfer auf speziell präparierte Phishing-Landingpages. Die Interaktion zwischen der Seite und dem Opfer variiert je nach Konfiguration des Phishing-Kits. Fortgeschrittene Versionen können Sicherheitsmaßnahmen umgehen, indem sie Nutzer zunächst auf legitime Websites weiterleiten und anschließend durch den Einsatz von DNS-MX-Datensätzen maßgeschneiderte Phishing-Seiten für den jeweiligen E-Mail-Dienst des Opfers bereitstellen.

Abbildung 2 zeigt eine vereinfachte Angriffskette von Morphing Meerkat – beginnend mit dem Start der Phishing-Kampagne über die PhaaS-Plattform bis hin zur Übermittlung der gestohlenen Anmeldedaten an einen vom Angreifer kontrollierten Speicherort. Quelle: Infoblox

DoH und DNS MX

Durch den Einsatz von DoH und DNS-MX hebt sich Morphing Meerkat von anderen Cyberkriminalitäts-Tools ab, da diese fortschrittlichen Techniken erhebliche operative Vorteile bieten.

DNS over HTTPS (DoH) ist ein Protokoll, das DNS-Anfragen über verschlüsselte HTTPS-Verbindungen statt über herkömmliche, unverschlüsselte UDP-basierte DNS-Abfragen überträgt. Dadurch wird die Erkennung und Filterung durch Sicherheitssysteme erheblich erschwert.

MX-Einträge (Mail Exchange) sind spezielle DNS-Einträge, die festlegen, welche Server für den E-Mail-Verkehr einer bestimmten Domain zuständig sind.

Sobald ein Opfer auf einen Link in einer Phishing-E-Mail klickt, lädt das Phishing-Kit in seinem Browser und führt eine DNS-Abfrage an Google oder Cloudflare durch, um die MX-Einträge der E-Mail-Domain des Opfers zu ermitteln. Dies ermöglicht es dem Kit, gezielt gefälschte Anmeldeseiten zu generieren, die speziell auf den E-Mail-Dienst des Nutzers zugeschnitten sind.

Senden einer DNS-Abfrage an Cloudflare, um den MX-Eintrag zu erhalten Quelle: Infoblox

Die Sichtbarkeit und Überwachung von Netzwerken sind essenzielle Bestandteile effektiver Unternehmenssicherheitsstrategien. Das oben genannte Prinzip dient sowohl als Warnung als auch als wertvolle Leitlinie im Bereich der Cybersicherheit: Wenn ein Sicherheitssystem eine Bedrohung nicht sehen kann, kann es sie auch nicht erkennen. Genau aus diesem Grund bleiben viele fortschrittliche, hartnäckige Bedrohungen (Advanced Persistent Threats, APTs) über Jahre hinweg unentdeckt und infiltrieren Unternehmensnetzwerke.

Diese Hartnäckigkeit ist jedoch nicht nur auf staatlich gesteuerte Bedrohungsakteure beschränkt. Frühere Analysen haben gezeigt, dass weitverbreitete Angriffe wie VexTrio Viper seit fast einem Jahrzehnt ein bösartiges Affiliate-Netzwerk betreiben und schädliche Webinhalte verbreiten. Indem sie ihre Infrastruktur ähnlich wie legitime Werbenetzwerke aufbauen, verbergen sie ihre Kommunikation im DNS und setzen fortschrittliche Tarntechniken ein.

Morphing Meerkat ist ein weiteres Beispiel für eine langanhaltende und schwer erkennbare Cyberbedrohung, die gezielt Sicherheitslücken ausnutzt. Die Betreiber nutzen offene Weiterleitungen in Adtech, verschlüsselte DoH-Kommunikation und populäre Dateifreigabedienste, um Schutzmechanismen zu umgehen.

Unternehmen können sich gegen derartige Angriffe schützen, indem sie ihre Netzwerksicherheit mit einer robusten DNS-Schutzschicht verstärken. Dazu gehören Maßnahmen wie:

  • Strengere DNS-Kontrollen, um die Kommunikation mit DoH-Servern zu unterbinden

  • Einschränkung oder Sperrung des Zugriffs auf Adtech- und Filesharing-Infrastrukturen, die für das Unternehmen nicht essenziell sind

Durch die Reduzierung unnötiger Dienste innerhalb des Netzwerks verkleinern Unternehmen ihre Angriffsfläche und erschweren es Cyberkriminellen, ihre Bedrohungen zu verbreiten.

Die vollständigen Indikatoren für Kompromittierungen (IoC), die mit der Aktivität von Morphing Meerkat in Verbindung stehen, wurden in diesem GitHub-Repository veröffentlicht.

Fachartikel

Featured image for “KI-Agenten als interne Sicherheitsrisiken: Was Experimente zeigen”

KI-Agenten als interne Sicherheitsrisiken: Was Experimente zeigen

Featured image for “MCP-Sicherheitsstudie: 555 Server mit riskanten Tool-Kombinationen identifiziert”

MCP-Sicherheitsstudie: 555 Server mit riskanten Tool-Kombinationen identifiziert

Featured image for “SOX-Compliance in SAP: Anforderungen, IT-Kontrollen und der Weg zur Automatisierung”

SOX-Compliance in SAP: Anforderungen, IT-Kontrollen und der Weg zur Automatisierung

Featured image for “Irans Cyberoperationen vor „Epic Fury“: Gezielter Infrastrukturaufbau und Hacktivisten-Welle nach den Angriffen”

Irans Cyberoperationen vor „Epic Fury“: Gezielter Infrastrukturaufbau und Hacktivisten-Welle nach den Angriffen

Featured image for “Steuersaison als Angriffsfläche: Phishing-Kampagnen und Malware-Wellen im Überblick”

Steuersaison als Angriffsfläche: Phishing-Kampagnen und Malware-Wellen im Überblick

Studien

Featured image for “Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich”

Drucksicherheit bleibt in vielen KMU ein vernachlässigter Bereich

Featured image for “Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen”

Sieben Regierungen einigen sich auf 6G-Sicherheitsrahmen

Featured image for “Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen”

Lieferkettenkollaps und Internetausfall: Unternehmen rechnen mit dem Unwahrscheinlichen

Featured image for “KI als Werkzeug für schnelle, kostengünstige Cyberangriffe”

KI als Werkzeug für schnelle, kostengünstige Cyberangriffe

Featured image for “KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen”

KI beschleunigt Cyberangriffe: IBM X-Force warnt vor wachsenden Schwachstellen in Unternehmen

Whitepaper

Featured image for “Quantifizierung und Sicherheit mit modernster Quantentechnologie”

Quantifizierung und Sicherheit mit modernster Quantentechnologie

Featured image for “KI-Betrug: Interpol warnt vor industrialisierter Finanzkriminalität – 4,5-fach profitabler”

KI-Betrug: Interpol warnt vor industrialisierter Finanzkriminalität – 4,5-fach profitabler

Featured image for “Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen”

Cloudflare Threat Report 2026: Ransomware beginnt mit dem Login – KI und Botnetze treiben die Industrialisierung von Cyberangriffen

Featured image for “EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig”

EBA-Folgebericht: Fortschritte bei IKT-Risikoaufsicht unter DORA – weitere Harmonisierung nötig

Featured image for “Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien”

Böswillige KI-Nutzung erkennen und verhindern: Anthropics neuer Bedrohungsbericht mit Fallstudien

Hamsterrad-Rebell

Featured image for “Sichere Enterprise Browser und Application Delivery für moderne IT-Organisationen”

Sichere Enterprise Browser und Application Delivery für moderne IT-Organisationen

Featured image for “Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2”

Sicherer Remote-Zugriff (SRA) für Operational Technology (OT) und industrielle Steuerungs- und Produktionssysteme (ICS) – Teil 2

Featured image for “Incident Response Retainer – worauf sollte man achten?”

Incident Response Retainer – worauf sollte man achten?

Featured image for “KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen”

KI‑basierte E‑Mail‑Angriffe: Einfach gestartet, kaum zu stoppen

Featured image for “NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg”

NIS2: „Zum Glück gezwungen“ – mit OKR-basiertem Vorgehen zum nachhaltigen Erfolg