此篇文章揭露了一項備受矚目的新型網路釣魚攻擊技術——Morphing Meerkat工具包的全貌。該工具包以「網釣即服務(Phishing-as-a-Service, PhaaS)」的形式營運,不僅能大量發送釣魚郵件,還具備高度隱匿與動態仿冒能力,顛覆傳統資安防線的偵測機制,對企業與個人用戶皆造成潛在巨大威脅。
根據資安公司 Infoblox 的揭露,Morphing Meerkat 最早出現於2020年1月,目前已模仿多達114個知名品牌,代表其具備廣泛攻擊適應力。此篇文章指出,研究人員首先發現數千封垃圾郵件使用該工具包發送,而這些郵件來源高度集中於兩家ISP——英國的 Iomart 與美國的 HostPapa,顯示出這是一場經過周密部署的攻擊行動,非單一駭客所為。
與傳統網釣工具相比,Morphing Meerkat 在攻擊手法上更具「適應性」與「隱蔽性」。文章特別點出此工具包的幾項技術亮點:
- 利用DoubleClick廣告重新導向漏洞,使惡意連結能輕易繞過電子郵件防護機制;
- 搭配已被入侵的WordPress網站作為跳板,達到重導目標網頁的效果;
- 整合DNS MX記錄查詢功能,可針對不同使用者的郵件服務供應商產生對應的假登入頁面,實現精準詐騙;
- 支援DNS-Over-HTTPS(DoH)協議,進一步隱蔽DNS查詢行為,提升難以追查的程度。
作者強調,Morphing Meerkat所採用的動態偽裝技術,讓其能根據不同受害者的環境「變形」為對應品牌樣貌的釣魚頁面,因此更容易騙過具備資安意識的使用者。此外,駭客甚至在釣魚頁面中停用鍵盤快速鍵與滑鼠右鍵,以防使用者檢查原始碼、識破陷阱。
針對被竊資料的傳輸方式,研究人員觀察到共四大類管道,包括:
- 電子郵件回傳;
- PHP伺服端指令碼處理;
- 透過AJAX遠端請求回傳資料;
- 採用hook+API通訊的JavaScript資料傳輸。
上述方式均搭配精簡的用戶端JavaScript函式庫完成,有效降低資料傳輸時被攔截的風險。
本文總結指出,Morphing Meerkat已非單純的釣魚套件,而是集多項進階攻擊手法於一身的「模組化釣魚攻擊平台」。對企業而言,傳統的反垃圾郵件過濾、防釣魚解決方案已無法完全防範此類進階攻擊;而對個人用戶而言,即便具備基本資安警覺,也可能被其高度擬真的介面與精準投遞手法所迷惑。
因此,無論是企業端或一般用戶,皆應認識文章中詳述的攻擊技術,並重新檢視現有的防禦策略與資安意識教育,才能在這場看不見的網釣戰中站穩腳步。
