Repérée par les analystes d’Infoblox Threat Intelligence, Morphing Meerkat est une nouvelle plateforme de phishing-as-a-service (PhaaS) qui fait froid dans le dos. Derrière ce nom inoffensif de suricate changeant se cache un outil redoutablement sophistiqué, capable de piéger des utilisateurs du monde entier en exploitant une faille discrète, mais efficace : les enregistrements DNS MX.
Là où Morphing Meerkat se distingue, c’est dans sa capacité à adapter dynamiquement ses attaques. Lorsqu’une victime clique/appuie sur un lien frauduleux, le kit analyse l’enregistrement MX de son adresse email pour déterminer quel fournisseur de messagerie elle utilise. En un clin d’œil, une fausse page de connexion parfaitement imitée s’affiche, reprenant les codes visuels familiers de Gmail, Outlook, Yahoo ou autres. Résultat : l’utilisateur pense se reconnecter normalement, et livre en réalité ses identifiants à des cybercriminels.
Mais ce n’est pas tout : après quelques tentatives échouées, la victime est automatiquement redirigée vers la véritable page de connexion, ce qui réduit les soupçons. Le tout est traduit automatiquement selon la langue de l’utilisateur et hébergé sur des infrastructures souvent légitimes, comme des services publicitaires ou des redirections ouvertes, pour échapper aux radars des outils de sécurité.
Un service accessible aux cybercriminels
En tant que plateforme PhaaS, Morphing Meerkat est utilisable par des attaquants sans compétences techniques avancées. Il leur suffit de louer le service pour orchestrer des campagnes ciblées à grande échelle. C’est un exemple frappant de la professionnalisation croissante de la cybercriminalité.
Les conséquences ? Elles vont bien au-delà du simple vol d’identifiants. Avec un accès valide, les cybercriminels peuvent infiltrer des systèmes d’entreprise, exfiltrer des données sensibles, ou lancer de nouvelles vagues de phishing depuis des comptes compromis, aggravant les dégâts.
Comment s’en protéger ?
Face à ce genre de menace, renforcer la sécurité DNS devient crucial. Cela passe par :
-
le contrôle des accès aux services DNS, en particulier ceux qui utilisent le chiffrement (DoH/DoT),
-
le blocage des domaines publicitaires ou de partage de fichiers inutiles pour l’activité de l’entreprise,
-
et une surveillance proactive pour détecter les comportements suspects et les connexions inhabituelles.
Enfin, la sensibilisation des utilisateurs reste une ligne de défense essentielle. Même les systèmes les plus avancés peuvent être contournés si l’humain n’est pas formé à détecter les signaux d’alerte. Pour plus d’infos techniques sur Morphing Meerkat et les détails de son fonctionnement, vous pouvez consulter l’analyse complète d’Infoblox.
