Pas op! De patchwork 'ZooToday' phishing-campagne probeert wachtwoorden te verzamelen

Beveiligingsonderzoekers die bij Microsoft werken, hebben een phishing- campagne beschreven die een vreemde toolset gebruikt. De campagne heeft de naam ZooToday gekregen en lijkt gebruik te maken van bits en bobs die zijn geplukt en hergebruikt uit de corrupte code van andere hackgroepen.

De onderzoekers van Microsoft verwijzen ook naar de campagne met de vertederende naam "Franken-Phish" vanwege het lappendeken van de phishing-kit die wordt gebruikt door de slechte actoren achter de campagne. De ZooToday-campagne maakt gebruik van stukjes code die afkomstig zijn uit verschillende bronnen, van misleidende kits die op het Dark Web worden verkocht tot phishingkits die online worden verkocht.

De campagne werd opgemerkt met behulp van het AwsApps(dot)com-domein om de phishingmail te verspreiden. De e-mails bevatten koppelingen die verwijzen naar een beschadigde webpagina die is gemaakt om het uiterlijk en ontwerp van de legitieme Office 365-aanmeldingspagina na te bootsen.

De campagne lijkt low-budget te zijnrelatief en met weinig moeite, omdat de domeinen waar de phishing-e-mails vandaan komen, willekeurige namen gebruiken en niet zijn aangepast om eruit te zien als de domeinen en namen die door echte bedrijven worden gebruikt. ZooToday gebruikt ook de zogenaamde "zero-point font obfuscation" in zijn phishing-e-mails. Dit betekent dat er een lettertype in de e-mail staat dat een lettergrootte van nul punten heeft gekregen, waardoor het in feite onzichtbaar is met HTML.

De campagne loopt al een tijdje. Microsoft heeft in april en mei van dit jaar een golf van activiteit opgespoord, waarbij de oude campagnes valse Microsoft-pagina's als lokaas gebruikten om wachtwoorden te verzamelen. Een paar maanden later, in augustus 2021, kende de campagne opnieuw een opleving in activiteit en deze keer werd gebruik gemaakt van Xerox-branding in zijn phishing.

Een andere bijzonderheid die de ZooToday phishing-campagne vertoont, is dat de verzamelde inloggegevens, vastgelegd via de valse Microsoft 365-aanmeldingspagina's die door de hackers zijn opgezet, niet worden doorgestuurd naar andere e-mails immzorgvuldig. In plaats daarvan slaan de ZooToday-operators de verzamelde inloggegevens op de site zelf op. De websites die door de groep achter ZooToday werden gebruikt, werden gehost met behulp van een cloudopslagprovider.