Внимавай! Фишинг кампанията Patchwork „ZooToday“ се стреми да събира пароли

Изследователи по сигурността, работещи в Microsoft, описаха фишинг кампания, която използва странен набор от инструменти. Кампанията е наречена ZooToday и изглежда използва битове и боби, избрани и използвани повторно от повредения код на други хакерски групи.

Изследователите на Microsoft също се позовават на кампанията с очарователното име "Franken-Phish" поради пачуърк естеството на фишинг комплекта, използван от лошите актьори зад кампанията. Кампанията ZooToday използва части от код, произхождащи от различни източници, от подвеждащи комплекти, продавани в Dark Web, до фишинг комплекти, продавани онлайн.

Кампанията беше забелязана с помощта на домейна AwsApps(dot)com за изпращане на фишинг писма. Имейлите съдържат връзки, които сочат към повредена уеб страница, която е създадена да имитира външния вид и дизайна на легитимната страница за вход в Office 365.

Кампанията изглежда е нискобюджетнаотносително и с малко усилия, тъй като домейните, от които идват фишинг имейлите, използват произволни имена и не са пригодени да изглеждат като домейните и имената, използвани от реални компании. ZooToday също използва това, което се нарича „закриване на шрифтове с нулева точка" в своите фишинг имейли. Това означава, че в имейла има шрифт, на който е даден размер на шрифта от нула точки, което ефективно го прави невидим с помощта на HTML.

Кампанията продължава от известно време. Microsoft проследи скокове на активност през април и май тази година, като старите кампании използваха фалшиви страници на Microsoft като стръв за събиране на пароли. Няколко месеца по-късно, през август 2021 г., кампанията премина през нов нарастване на активността и този път използва марката Xerox в своя фишинг.

Друга особеност, която показва фишинг кампанията ZooToday е, че събраните идентификационни данни, заснети чрез фалшивите страници за вход в Microsoft 365, създадени от хакерите, не се препращат към други имейли imm.упорито. Вместо това операторите на ZooToday съхраняват събраната информация за вход в самия сайт. Уебсайтовете, използвани от групата зад ZooToday, бяха хоствани с помощта на доставчик на облачно съхранение.