조심해! 패치워크 'ZooToday' 피싱 캠페인, 비밀번호 수집 시도

Microsoft에서 일하는 보안 연구원은 이상한 도구 집합을 사용하는 피싱 캠페인에 대해 자세히 설명했습니다. 이 캠페인의 이름은 ZooToday이며 다른 해킹 그룹의 손상된 코드에서 선택하여 재사용하는 것으로 보입니다.

Microsoft의 연구원들은 캠페인 배후의 악당들이 사용하는 피싱 키트의 패치워크 특성으로 인해 "Franken-Phish"라는 사랑스러운 이름으로 캠페인을 언급하고 있습니다. ZooToday 캠페인은 다크 웹에서 판매되는 오해의 소지가 있는 키트부터 온라인에서 판매되는 피싱 키트에 이르기까지 다양한 소스에서 가져온 코드 조각을 사용합니다.

이 캠페인은 AwsApps(dot)com 도메인을 사용하여 피싱 메일을 유포하는 것으로 포착되었습니다. 이메일에는 합법적인 Office 365 로그인 페이지의 모양과 디자인을 모방하도록 구성된 손상된 웹 페이지를 가리키는 링크가 포함되어 있습니다.

캠페인이 저예산인 것 같습니다.피싱 이메일 의 출처 도메인이 임의의 이름을 사용하고 실제 회사에서 사용하는 도메인 및 이름처럼 보이도록 맞춤화되지 않았기 때문에 상대적으로 노력이 적게 듭니다. ZooToday는 또한 피싱 이메일에 "영점 글꼴 난독화"라는 것을 사용합니다. 이는 이메일에 글꼴 크기가 0포인트로 지정된 글꼴이 있어 HTML을 사용하여 효과적으로 보이지 않게 하는 글꼴이 있음을 의미합니다.

캠페인은 잠시 동안 진행되었습니다. Microsoft는 가짜 Microsoft 페이지를 미끼로 사용하여 암호를 수집하는 오래된 캠페인을 통해 올해 4월과 5월에 활동 급증을 추적했습니다. 몇 달 후인 2021년 8월에 이 캠페인은 활동이 다시 증가했으며 이번에는 피싱에 Xerox 브랜드를 사용했습니다.

ZooToday 피싱 캠페인이 나타내는 또 다른 특징은 해커가 설정한 가짜 Microsoft 365 로그인 페이지를 통해 캡처된 수집된 자격 증명이 다른 이메일로 전달되지 않는다는 것입니다 imm바로. 대신 ZooToday 운영자는 수집된 로그인 정보를 사이트 자체에 저장합니다. ZooToday 뒤에 있는 그룹이 사용하는 웹사이트는 클라우드 저장소 공급자를 사용하여 호스팅되었습니다.