【安全资讯】新型钓鱼服务Morphing Meerkat利用DNS-over-HTTPS规避检测

概要：

近期发现了一种名为Morphing Meerkat的钓鱼服务（PhaaS），该平台利用DNS-over-HTTPS（DoH）协议来规避安全检测。此服务自2020年以来活跃，能够动态生成针对114个品牌的伪造登录页面，给用户带来了严重的安全威胁。

主要内容：

Morphing Meerkat是一种钓鱼服务平台，提供了一个完整的工具包，用于发起有效、可扩展且难以被检测的钓鱼攻击。该平台通过集中式SMTP基础设施发送垃圾邮件，约50%的邮件来源于英国的iomart和美国的HostPapa。攻击者能够伪装成多个电子邮件和服务提供商，包括Gmail、Outlook和Yahoo等，邮件主题通常设计为促使用户紧急行动。

当受害者点击恶意链接时，攻击链通过广告技术平台的开放重定向漏洞展开，最终加载钓鱼工具包。该工具包使用DoH查询受害者电子邮件域的MX记录，从而动态生成伪造的登录页面，并自动填充受害者的电子邮件地址。受害者输入凭证后，这些信息通过AJAX请求被窃取，并可能实时转发到攻击者的服务器。

Morphing Meerkat的独特之处在于其使用DoH和DNS MX记录，这些先进技术显著提高了操作的隐蔽性。DoH通过加密的HTTPS请求进行DNS解析，避免了传统明文查询的监控。Infoblox建议加强DNS控制，以防止用户与DoH服务器通信，从而降低此类攻击的风险。