Pozor! Phishingová kampaň Patchwork 'ZooToday' se snaží sbírat hesla

Bezpečnostní výzkumníci pracující ve společnosti Microsoft podrobně popsali phishingovou kampaň, která používá podivnou sadu nástrojů. Kampaň byla nazvána ZooToday a zdá se, že používá bity a boby vybrané a znovu použité z poškozeného kódu jiných hackerských skupin.

Výzkumníci Microsoftu také odkazují na kampaň pod roztomilým názvem „Franken-Phish" kvůli spletité povaze phishingové sady, kterou používají špatní herci stojící za kampaní. Kampaň ZooToday využívá kousky kódu pocházející z různých zdrojů, od zavádějících sad prodávaných na temném webu až po phishingové sady prodávané online.

Kampaň byla spatřena pomocí domény AwsApps(dot)com k šíření phishingové pošty. E-maily obsahují odkazy, které odkazují na poškozenou webovou stránku, která je vytvořena tak, aby napodobovala vzhled a design legitimní přihlašovací stránky Office 365.

Kampaň se zdá být nízkorozpočtovárelativně a s nízkým úsilím, protože domény, ze kterých přicházejí phishingové e-maily, používají náhodná jména a nebyly přizpůsobeny tak, aby vypadaly jako domény a názvy používané skutečnými společnostmi. ZooToday také ve svých phishingových e-mailech používá to, čemu se říká „zmatení písma s nulovým bodem". To znamená, že v e-mailu je písmo, kterému byla přidělena velikost písma nula bodů, takže je pomocí HTML efektivně neviditelné.

Kampaň už nějakou dobu trvá. Microsoft zaznamenal nárůst aktivity již v dubnu a květnu tohoto roku, kdy staré kampaně využívaly falešné stránky Microsoftu jako návnadu ke shromažďování hesel. O několik měsíců později, v srpnu 2021, kampaň prošla dalším nárůstem aktivity a tentokrát při phishingu používala značku Xerox.

Další zvláštností, kterou vykazuje phishingová kampaň ZooToday, je to, že shromážděné přihlašovací údaje získané prostřednictvím falešných přihlašovacích stránek Microsoft 365 vytvořených hackery nejsou přeposílány na jiné e-maily.okamžitě. Místo toho provozovatelé ZooToday ukládají shromážděné přihlašovací údaje na samotný web. Webové stránky používané skupinou za ZooToday byly hostovány pomocí poskytovatele cloudového úložiště.