Strzec się! Patchworkowa kampania phishingowa „ZooToday” ma na celu zbieranie haseł

Badacze bezpieczeństwa pracujący w Microsoft szczegółowo opisali kampanię phishingową wykorzystującą dziwny zestaw narzędzi. Kampania została nazwana ZooToday i wydaje się, że wykorzystuje fragmenty zebrane i ponownie wykorzystane z uszkodzonego kodu innych grup hakerskich.

Badacze Microsoftu odnoszą się również do kampanii pod ujmującą nazwą „Franken-Phish" ze względu na patchworkowy charakter zestawu phishingowego wykorzystywanego przez złych aktorów stojących za kampanią. Kampania ZooToday wykorzystuje fragmenty kodu pochodzące z różnych źródeł, od wprowadzających w błąd zestawów sprzedawanych w Dark Web po zestawy do phishingu sprzedawane online.

Kampania została zauważona przy użyciu domeny AwsApps(kropka)com do rozsyłania poczty phishingowej. Wiadomości e-mail zawierają łącza wskazujące na uszkodzoną stronę sieci Web, która została skonstruowana tak, aby naśladować wygląd i projekt prawidłowej strony logowania do usługi Office 365.

Kampania wydaje się być niskobudżetowastosunkowo i nie wymaga dużego wysiłku, ponieważ domeny, z których pochodzą wiadomości phishingowe, używają losowych nazw i nie zostały dostosowane tak, aby wyglądały jak domeny i nazwy używane przez prawdziwe firmy. ZooToday wykorzystuje również tak zwane „zaciemnianie czcionek punktu zerowego" w swoich wiadomościach phishingowych. Oznacza to, że w wiadomości e-mail znajduje się czcionka, której rozmiar czcionki wynosi zero punktów, co skutecznie czyni ją niewidoczną w języku HTML.

Kampania trwa już od jakiegoś czasu. Microsoft prześledził wzrost aktywności w kwietniu i maju tego roku, przy czym stare kampanie wykorzystywały fałszywe strony Microsoftu jako przynętę do zbierania haseł. Kilka miesięcy później, w sierpniu 2021 r., kampania odnotowała kolejny wzrost aktywności i tym razem wykorzystywała branding Xerox w phishingu.

Inną osobliwością kampanii phishingowej ZooToday jest to, że zebrane dane uwierzytelniające, przechwycone przez fałszywe strony logowania Microsoft 365 utworzone przez hakerów, nie są przekazywane do innych wiadomości e-mail.redakcyjnie. Zamiast tego operatorzy ZooToday przechowują zebrane dane logowania w samej witrynie. Witryny używane przez grupę stojącą za ZooToday były hostowane przy użyciu dostawcy pamięci w chmurze.