احذر! تسعى حملة التصيد "ZooToday" المرقعة إلى جمع كلمات المرور

قام باحثو الأمن العاملون في Microsoft بتفصيل حملة تصيد تستخدم مجموعة أدوات غريبة. أُطلق على الحملة اسم ZooToday ويبدو أنها تستخدم البتات والبوب التي تم انتقاؤها وإعادة استخدامها من الشفرة التالفة لمجموعات القرصنة الأخرى.

يشير باحثو Microsoft أيضًا إلى الحملة بالاسم المحبب "Franken-Phish" نظرًا لطبيعة الترقيع لمجموعة أدوات التصيد التي يستخدمها الفاعلون السيئون وراء الحملة. تستخدم حملة ZooToday أجزاء من التعليمات البرمجية نشأت من مصادر مختلفة ، بدءًا من المجموعات المضللة التي يتم بيعها على شبكة الويب المظلمة وحتى مجموعات التصيد التي يتم بيعها عبر الإنترنت.

تم رصد الحملة باستخدام نطاق AwsApps (dot) com لاستبعاد بريد التصيد الاحتيالي. تحتوي رسائل البريد الإلكتروني على ارتباطات تشير إلى صفحة ويب تالفة تم إنشاؤها لتقليد شكل وتصميم صفحة تسجيل الدخول الشرعية إلى Office 365.

يبدو أن الحملة منخفضة الميزانيةنسبيًا وبجهد منخفض ، نظرًا لأن المجالات التي تأتي منها رسائل التصيد الاحتيالي الإلكترونية تستخدم أسماء عشوائية ولم يتم تصميمها لتبدو مثل المجالات والأسماء التي تستخدمها الشركات الحقيقية. يستخدم ZooToday أيضًا ما يسمى "تشويش خط النقطة الصفرية" في رسائل البريد الإلكتروني المخادعة. هذا يعني أن هناك خطًا في البريد الإلكتروني تم إعطاؤه حجم خط يساوي صفرًا ، مما يجعله غير مرئي بشكل فعال باستخدام HTML.

الحملة مستمرة منذ فترة. قامت Microsoft بتتبع ارتفاعات كبيرة في النشاط في أبريل ومايو من هذا العام ، مع استخدام الحملات القديمة صفحات Microsoft المزيفة كطعم لجمع كلمات المرور. بعد بضعة أشهر ، في أغسطس 2021 ، شهدت الحملة زيادة أخرى في النشاط وكانت هذه المرة تستخدم علامة Xerox التجارية في التصيد الاحتيالي.

خصوصية أخرى تعرضها حملة ZooToday للتصيد الاحتيالي هي أن بيانات الاعتماد المجمعة ، التي تم التقاطها من خلال صفحات تسجيل الدخول المزيفة إلى Microsoft 365 التي أنشأها المتسللون ، لا يتم إعادة توجيهها إلى رسائل بريد إلكتروني أخرى.على الفور. بدلاً من ذلك ، يقوم مشغلو ZooToday بتخزين معلومات تسجيل الدخول المجمعة على الموقع نفسه. تمت استضافة مواقع الويب التي تستخدمها المجموعة وراء ZooToday باستخدام موفر التخزين السحابي.