Investigadores de Infoblox han descubierto una nueva y sofisticada plataforma de phishing-as-a-service (PhaaS) denominada Morphing Meerkat, que implementa técnicas avanzadas de evasión para comprometer usuarios de más de 114 servicios diferentes. Esta infraestructura maliciosa representa una evolución significativa en las amenazas de phishing, combinando tecnologías modernas con métodos ingeniosos de ingeniería social.
Infraestructura técnica y alcance de la amenaza
Morphing Meerkat opera mediante una infraestructura SMTP centralizada que facilita campañas masivas de phishing. La investigación revela que aproximadamente el 50% del tráfico malicioso se origina a través de servicios de hosting proporcionados por iomart (Reino Unido) y HostPapa (Estados Unidos). La plataforma destaca por su capacidad para clonar interfaces de servicios populares como Gmail, Outlook, Yahoo y DHL, generando páginas fraudulentas en múltiples idiomas.
Innovadores mecanismos de evasión
La característica más distintiva de esta plataforma es la implementación del protocolo DNS-over-HTTPS (DoH) a través de la infraestructura de Google y Cloudflare. Esta técnica permite evadir los sistemas tradicionales de monitorización DNS, dificultando significativamente la detección y bloqueo de las actividades maliciosas. El proceso de ataque incluye una serie de redirecciones a través de redes publicitarias y sitios WordPress comprometidos.
Proceso de ataque y recolección de credenciales
El sistema emplea un sofisticado mecanismo de identificación automática del proveedor de correo de la víctima mediante análisis de registros MX, presentando una página de phishing personalizada. Una táctica particularmente efectiva es el sistema de doble verificación de contraseña, que muestra un mensaje de error ficticio tras el primer intento, induciendo a la víctima a reingresar sus credenciales.
Estrategias de mitigación y protección
Los expertos en ciberseguridad recomiendan implementar controles estrictos sobre el tráfico DNS corporativo, incluyendo la restricción de acceso a servidores DoH y el bloqueo de plataformas publicitarias no esenciales. Es fundamental establecer programas de capacitación continua en seguridad para el personal, enfocados en la identificación de intentos de phishing y la aplicación de prácticas seguras de autenticación.
El surgimiento de Morphing Meerkat evidencia la creciente sofisticación del cibercrimen organizado y la necesidad de adoptar estrategias de defensa más robustas. Las organizaciones deben priorizar la implementación de soluciones de seguridad multicapa, incluyendo autenticación multifactor, análisis de comportamiento de usuarios y monitorización avanzada de red para protegerse contra estas amenazas emergentes.
