Akta sig! Patchwork 'ZooToday' phishing -kampanj försöker samla in lösenord

Säkerhetsforskare som arbetar på Microsoft detaljerade en nätfiskekampanj som använder en konstig verktygsuppsättning. Kampanjen har kallats ZooToday och verkar använda bitar och bobs som plockats och återanvänds från den skadade koden för andra hackinggrupper.

Microsofts forskare hänvisar också till kampanjen med det förtjusande namnet "Franken-Phish" på grund av lapptäcken av phishing-kit som används av de dåliga aktörerna bakom kampanjen. ZooToday -kampanjen använder kodbitar från olika källor, från vilseledande kit som säljs på Dark Web till phishing -kit som säljs online.

Kampanjen upptäcktes med hjälp av AwsApps (dot) com -domänen för att dela ut phishing -posten. E -postmeddelandena innehåller länkar som pekar på en skadad webbsida som är konstruerad för att efterlikna utseendet och utformningen av den legitima inloggningssidan för Office 365.

Kampanjen verkar ha låg budgetrelativt och låg ansträngning, eftersom domänerna som phishing-e-postmeddelandena kommer från använder slumpmässiga namn och inte har anpassats för att se ut som domäner och namn som används av riktiga företag. ZooToday använder också det som kallas "nollpunktstypskymning" i sina phishing-e-postmeddelanden. Det betyder att det finns ett teckensnitt i e -postmeddelandet som har fått en teckenstorlek på noll poäng, vilket effektivt gör det osynligt med HTML.

Kampanjen har pågått ett tag. Microsoft har spårat aktivitetssteg tillbaka i april och maj i år, med de gamla kampanjerna som använder falska Microsoft -sidor som bete för att samla in lösenord. Några månader senare, i augusti 2021, genomgick kampanjen ytterligare en ökning av aktiviteten och använde den här gången Xerox branding i sitt nätfiske.

En annan egenskap som ZooToday -nätfiskekampanjen uppvisar är att de samlade inloggningsuppgifterna, som fångats genom de falska Microsoft 365 -inloggningssidorna som skapats av hackarna, inte vidarebefordras till andra e -postmeddelandenediately. I stället lagrar ZooToday -operatörerna den insamlade inloggningsinformationen på själva webbplatsen. Webbplatserna som användes av gruppen bakom ZooToday var värd med en molnlagringsleverantör.