Operación de phishing como servicio emplea DNS sobre HTTPS para evadir detección
Publicado enNoticias

Operación de phishing como servicio emplea DNS sobre HTTPS para evadir detección

No hay comentarios

Morphing Meerkat: Phishing-as-a-Service que utiliza DNS sobre HTTPS para evadir detección

Un nuevo esquema de Phishing-as-a-Service (PhaaS), identificado por investigadores como “Morphing Meerkat”, está aprovechando el protocolo DNS sobre HTTPS (DoH) para evadir mecanismos de seguridad tradicionales. Esta técnica sofisticada dificulta la detección de actividades maliciosas al encriptar las consultas DNS, ocultando así los dominios utilizados en campañas de phishing.

¿Qué es Phishing-as-a-Service (PhaaS)?

El modelo PhaaS permite a actores maliciosos, incluso con conocimientos técnicos limitados, lanzar campañas de phishing mediante plataformas en línea que ofrecen herramientas y plantillas preconfiguradas. Estas plataformas suelen incluir:

  • Páginas de phishing personalizables.
  • Servidores de alojamiento automatizados.
  • Mecanismos de evasión de detección.
  • Sistemas de gestión de víctimas.

Morphing Meerkat destaca por incorporar técnicas avanzadas como el uso de DoH para evitar bloqueos basados en DNS.

DNS sobre HTTPS (DoH) como herramienta de evasión

El protocolo DNS sobre HTTPS (DoH) fue diseñado para mejorar la privacidad al encriptar las consultas DNS, evitando que terceros intercepten o manipulen las solicitudes. Sin embargo, los atacantes están abusando de esta tecnología para:

  • Ocultar dominios maliciosos detrás de tráfico HTTPS legítimo.
  • Evadir firewalls y sistemas de filtrado basados en DNS tradicional.
  • Dificultar el análisis forense de redes.

Al utilizar DoH, Morphing Meerkat puede resolver nombres de dominio sin dejar registros claros en los servidores DNS convencionales, lo que complica su rastreo.

Implicaciones para la ciberseguridad

Esta táctica representa un desafío significativo para los equipos de seguridad, ya que:

  • Las soluciones tradicionales de bloqueo de DNS pueden ser ineficaces.
  • El tráfico malicioso se mezcla con tráfico HTTPS legítimo.
  • Se requieren nuevas estrategias de monitoreo, como inspección profunda de paquetes (DPI) o análisis de comportamiento.

Recomendaciones de mitigación

Para contrarrestar estas amenazas, se recomienda:

  • Implementar soluciones de seguridad capaces de inspeccionar tráfico DoH.
  • Monitorizar anomalías en el uso de HTTPS.
  • Utilizar inteligencia de amenazas actualizada para identificar patrones de PhaaS.
  • Restringir el uso de DoH en entornos corporativos cuando sea posible.

La aparición de Morphing Meerkat subraya la necesidad de evolucionar las defensas contra el phishing, especialmente ante el uso creciente de protocolos de privacidad con fines maliciosos. Fuente original

Comentarios

Aún no hay comentarios. ¿Por qué no comienzas el debate?

Deja una respuesta