Cuidado! A Campanha de Phishing Patchwork 'ZooToday' Busca Coletar Senhas

Pesquisadores de segurança que trabalham na Microsoft detalharam uma campanha de phishing que usa um estranho conjunto de ferramentas. A campanha foi apelidada de ZooToday e parece usar bits e bobs retirados e reutilizados do código corrompido de outros grupos de hackers.

Os pesquisadores da Microsoft também estão se referindo à campanha pelo nome cativante "Franken-Phish" devido à natureza de colcha de retalhos do kit de phishing empregado pelos malfeitores por trás da campanha. A campanha ZooToday usa pedaços de código originários de várias fontes, desde kits enganosos vendidos na Dark Web até kits de phishing vendidos online.

A campanha foi identificada usando o domínio AwsApps(ponto)com para distribuir o e-mail de phishing. Os emails contêm links que apontam para uma página da Web corrompida que é construída para imitar a aparência e o design da página de logon legítima do Office 365.

A campanha parece ter um orçamento baixo relativamente e com pouco esforço, pois os domínios de onde vêm os e-mails de phishing usam nomes aleatórios e não foram ajustados para se parecerem com os domínios e nomes usados por empresas reais. O ZooToday também usa o que é chamado de "ofuscação de fonte de ponto zero" em seus e-mails de phishing. Isso significa que há uma fonte no e-mail que recebeu um tamanho de fonte de zero pontos, tornando-a efetivamente invisível usando HTML.

A campanha já está em andamento há um bom tempo. A Microsoft rastreou surtos de atividade em abril e maio deste ano, com as campanhas antigas usando páginas falsas da Microsoft como isca para coletar senhas. Poucos meses depois, em agosto de 2021, a campanha passou por outro aumento de atividade e, desta vez, estava usando a marca Xerox em seu phishing.

Outra peculiaridade que a campanha de phishing ZooToday exibe é que as credenciais coletadas, capturadas por meio das falsas páginas de login do Microsoft 365 configuradas pelos hackers, não são encaminhadas imediatamente para outros e-mails. Em vez disso, os operadores ZooToday armazenam as informações de login coletadas no próprio site. Os sites usados pelo grupo por trás do ZooToday foram hospedados em um provedor de armazenamento na nuvem.