Pas på! Patchwork 'ZooToday' phishing -kampagne søger at indsamle adgangskoder

Sikkerhedsforskere, der arbejder hos Microsoft, detaljerede en phishing -kampagne, der bruger et mærkeligt værktøjssæt. Kampagnen er blevet kaldt ZooToday og ser ud til at bruge bits og bobs plukket og genbrugt fra den ødelagte kode for andre hackergrupper.

Microsofts forskere henviser også til kampagnen med det kærlige navn "Franken-Phish" på grund af patchwork-karakteren af phishing-kittet, der anvendes af de dårlige aktører bag kampagnen. ZooToday -kampagnen bruger kodestykker, der stammer fra forskellige kilder, fra vildledende kits, der sælges på Dark Web, til phishing -kits, der sælges online.

Kampagnen blev opdaget ved hjælp af AwsApps (dot) com -domænet til at dele phishing -mails ud. E -mailsne indeholder links, der peger på en beskadiget webside, der er konstrueret til at efterligne udseendet og designet af den legitime Office 365 -login -side.

Kampagnen ser ud til at være lavbudgetrelativt og lav indsats, da de domæner, phishing-mails kommer fra, bruger tilfældige navne og ikke er blevet skræddersyet til at ligne domæner og navne, der bruges af rigtige virksomheder. ZooToday bruger også det, der kaldes "zero-point font obfuscation" i sine phishing-e-mails. Det betyder, at der er en skrifttype i e -mailen, der har fået en skriftstørrelse på nul point, hvilket effektivt gør den usynlig ved hjælp af HTML.

Kampagnen har været i gang et stykke tid. Microsoft har sporet aktivitetsstigninger tilbage i april og maj i år, hvor de gamle kampagner brugte falske Microsoft -sider som agn til at indsamle adgangskoder. Et par måneder senere, i august 2021, gennemgik kampagnen endnu en stigning i aktiviteten og brugte denne gang Xerox -branding i sit phishing.

En anden ejendommelighed, som ZooToday phishing -kampagnen udviser, er, at de indsamlede legitimationsoplysninger, der er fanget via de falske Microsoft 365 -login -sider, der er oprettet af hackerne, ikke videresendes til andre e -mails immediately. I stedet gemmer ZooToday -operatørerne de indsamlede loginoplysninger på selve webstedet. De websteder, der blev brugt af gruppen bag ZooToday, blev hostet ved hjælp af en cloud storage -udbyder.