Остерегаться! Фишинговая кампания Patchwork ZooToday направлена на сбор паролей

Исследователи безопасности, работающие в Microsoft, подробно описали фишинговую кампанию, в которой используется странный набор инструментов. Кампания получила название ZooToday и, похоже, использует кусочки и бобы, взятые и повторно используемые из поврежденного кода других хакерских групп.

Исследователи Microsoft также называют кампанию милым названием «Franken-Phish» из-за лоскутного характера фишингового набора, используемого злоумышленниками, стоящими за кампанией. Кампания ZooToday использует фрагменты кода, происходящие из различных источников, от вводящих в заблуждение наборов, продаваемых в Dark Web, до наборов для фишинга, продаваемых в Интернете.

Кампания была замечена с использованием домена AwsApps (точка) com для рассылки фишинговых писем. Электронные письма содержат ссылки, указывающие на поврежденную веб-страницу, которая имитирует внешний вид и дизайн законной страницы входа в Office 365.

Кампания кажется малобюджетнойотносительно и без особых усилий, поскольку домены, с которых приходят фишинговые письма , используют случайные имена и не были адаптированы так, чтобы выглядеть как домены и имена, используемые реальными компаниями. ZooToday также использует в своих фишинговых письмах так называемую «обфускацию шрифта с нулевой точкой». Это означает, что в электронном письме есть шрифт с нулевым размером шрифта, что делает его невидимым при использовании HTML.

Кампания длится некоторое время. Microsoft отслеживала всплески активности еще в апреле и мае этого года, когда в старых кампаниях использовались поддельные страницы Microsoft в качестве приманки для сбора паролей. Несколько месяцев спустя, в августе 2021 года, кампания пережила очередной всплеск активности и на этот раз использовала брендинг Xerox в своем фишинге.

Еще одна особенность, которую демонстрирует фишинговая кампания ZooToday, заключается в том, что собранные учетные данные, полученные через поддельные страницы входа в Microsoft 365, созданные хакерами, не пересылаются на другие электронные письма.назидательно. Вместо этого операторы ZooToday хранят собранную информацию для входа на сайт. Веб-сайты, используемые группой ZooToday, были размещены с использованием поставщика облачных хранилищ.