Attenzione! La campagna di phishing Patchwork "ZooToday" cerca di raccogliere password

I ricercatori di sicurezza che lavorano in Microsoft hanno dettagliato una campagna di phishing che utilizza uno strano set di strumenti. La campagna è stata soprannominata ZooToday e sembra utilizzare bit e bob raccolti e riutilizzati dal codice corrotto di altri gruppi di hacker.

I ricercatori di Microsoft si riferiscono anche alla campagna con il nome accattivante "Franken-Phish" a causa della natura patchwork del kit di phishing impiegato dai cattivi attori dietro la campagna. La campagna ZooToday utilizza codici provenienti da varie fonti, dai kit fuorvianti venduti sul Dark Web ai kit di phishing venduti online.

La campagna è stata individuata utilizzando il dominio AwsApps(dot)com per distribuire la posta di phishing. Le e-mail contengono collegamenti che puntano a una pagina Web danneggiata creata per imitare l'aspetto e il design della pagina di accesso a Office 365 legittima.

La campagna sembra essere a basso budgetrelativamente e a basso sforzo, poiché i domini da cui provengono le e-mail di phishing utilizzano nomi casuali e non sono stati adattati per assomigliare ai domini e ai nomi utilizzati da aziende reali. ZooToday utilizza anche quello che viene chiamato "offuscamento dei caratteri a punto zero" nelle sue e-mail di phishing. Ciò significa che c'è un carattere nell'e-mail a cui è stata assegnata una dimensione del carattere di zero punti, rendendolo effettivamente invisibile utilizzando l'HTML.

La campagna va avanti da tempo. Microsoft ha registrato picchi di attività ad aprile e maggio di quest'anno, con le vecchie campagne che utilizzavano pagine Microsoft false come esca per raccogliere le password. Pochi mesi dopo, nell'agosto 2021, la campagna ha registrato un altro aumento di attività e questa volta ha utilizzato il marchio Xerox per il phishing.

Un'altra particolarità che esibisce la campagna di phishing di ZooToday è che le credenziali raccolte, catturate attraverso le false pagine di login di Microsoft 365 impostate dagli hacker, non vengono inoltrate ad altre email immfacilmente. Gli operatori di ZooToday, invece, memorizzano le informazioni di accesso raccolte sul sito stesso. I siti web utilizzati dal gruppo dietro ZooToday sono stati ospitati utilizzando un provider di cloud storage.