खबरदार! पैचवर्क 'ZooToday' फ़िशिंग अभियान पासवर्ड एकत्र करना चाहता है

Microsoft में काम कर रहे सुरक्षा शोधकर्ताओं ने एक अजीब टूलसेट का उपयोग करने वाले एक फ़िशिंग अभियान का विवरण दिया। अभियान को ZooToday करार दिया गया है और ऐसा लगता है कि अन्य हैकिंग समूहों के दूषित कोड से चुने गए और पुन: उपयोग किए गए बिट्स और बॉब्स का उपयोग किया जाता है।

Microsoft के शोधकर्ता भी अभियान के पीछे बुरे अभिनेताओं द्वारा नियोजित फ़िशिंग किट की पैचवर्क प्रकृति के कारण "फ्रेंकन-फ़िश" नाम से अभियान का उल्लेख कर रहे हैं। ZooToday अभियान विभिन्न स्रोतों से उत्पन्न कोड के टुकड़ों का उपयोग करता है, डार्क वेब पर बेची जाने वाली भ्रामक किट से लेकर ऑनलाइन बेची जाने वाली फ़िशिंग किट तक।

अभियान को फ़िशिंग मेल को बाहर निकालने के लिए AwsApps (डॉट) कॉम डोमेन का उपयोग करते हुए देखा गया था। ईमेल में ऐसे लिंक होते हैं जो एक दूषित वेब पेज की ओर इशारा करते हैं जो वैध Office 365 लॉगिन पृष्ठ के स्वरूप और डिज़ाइन की नकल करने के लिए बनाया गया है।

अभियान कम बजट वाला लगता हैअपेक्षाकृत और कम प्रयास, क्योंकि जिन डोमेन से फ़िशिंग ईमेल आते हैं वे यादृच्छिक नामों का उपयोग कर रहे हैं और वास्तविक कंपनियों द्वारा उपयोग किए गए डोमेन और नामों की तरह दिखने के लिए तैयार नहीं किए गए हैं। ZooToday अपने फ़िशिंग ईमेल में "शून्य-बिंदु फ़ॉन्ट ओफ़्फ़ुसेशन" का भी उपयोग करता है। इसका मतलब है कि ईमेल में एक फ़ॉन्ट है जिसे शून्य बिंदुओं का फ़ॉन्ट आकार दिया गया है, जो प्रभावी रूप से HTML का उपयोग करके इसे अदृश्य बना देता है।

यह अभियान काफी समय से चल रहा है। Microsoft ने इस वर्ष के अप्रैल और मई में गतिविधि के उछाल का पता लगाया है, पुराने अभियानों में पासवर्ड एकत्र करने के लिए नकली Microsoft पृष्ठों का उपयोग चारा के रूप में किया गया है। कुछ महीने बाद, अगस्त 2021 में, अभियान गतिविधि में एक और तेजी के माध्यम से चला गया और इस बार अपने फ़िशिंग में ज़ेरॉक्स ब्रांडिंग का उपयोग कर रहा था।

ZooToday फ़िशिंग अभियान की एक और ख़ासियत यह है कि हैकर्स द्वारा स्थापित नकली Microsoft 365 लॉगिन पृष्ठों के माध्यम से एकत्र किए गए क्रेडेंशियल्स को अन्य ईमेल पर अग्रेषित नहीं किया जाता है।तुरंत। इसके बजाय, ZooToday ऑपरेटर एकत्रित लॉगिन जानकारी को साइट पर ही संग्रहीत करते हैं। ZooToday के पीछे समूह द्वारा उपयोग की जाने वाली वेबसाइटों को क्लाउड स्टोरेज प्रदाता का उपयोग करके होस्ट किया गया था।