Dikkat! Patchwork 'ZooToday' Kimlik Avı Kampanyası Parolaları Toplamaya Çalışıyor

Microsoft'ta çalışan güvenlik araştırmacıları, garip bir araç seti kullanan bir kimlik avı kampanyasını ayrıntılı olarak anlattı. Kampanya ZooToday olarak adlandırıldı ve diğer bilgisayar korsanlığı gruplarının bozuk kodlarından toplanan ve yeniden kullanılan bitleri ve bobları kullanıyor gibi görünüyor.

Microsoft'un araştırmacıları, kampanyanın arkasındaki kötü aktörler tarafından kullanılan kimlik avı kitinin patchwork yapısı nedeniyle, kampanyaya sevimli "Franken-Phish" adıyla atıfta bulunuyorlar. ZooToday kampanyası, Dark Web'de satılan yanıltıcı kitlerden çevrimiçi olarak satılan kimlik avı kitlerine kadar çeşitli kaynaklardan gelen kod parçalarını kullanır.

Kampanya, kimlik avı postalarını dağıtmak için AwsApps(dot)com alanı kullanılarak tespit edildi. E-postalar, meşru Office 365 oturum açma sayfasının görünümünü ve tasarımını taklit etmek için oluşturulmuş bozuk bir Web sayfasına işaret eden bağlantılar içerir.

Kampanya düşük bütçeli görünüyor Kimlik avı e-postalarının geldiği alan adları rastgele adlar kullandığından ve gerçek şirketler tarafından kullanılan alan adlarına ve adlara benzeyecek şekilde uyarlanmadığından, nispeten ve düşük çaba gerektirir. ZooToday ayrıca kimlik avı e-postalarında "sıfır noktalı yazı tipi gizleme" denilen şeyi kullanır. Bu, e-postada sıfır puntoluk bir yazı tipi boyutu verilmiş bir yazı tipi olduğu anlamına gelir, bu da onu HTML kullanarak etkili bir şekilde görünmez kılar.

Kampanya bir süredir devam ediyor. Microsoft, bu yılın Nisan ve Mayıs aylarında, parola toplamak için sahte Microsoft sayfalarını yem olarak kullanan eski kampanyalarla birlikte faaliyet dalgalanmalarının izini sürdü. Birkaç ay sonra, Ağustos 2021'de kampanya, etkinlikte başka bir artış yaşadı ve bu sefer kimlik avında Xerox markasını kullanıyordu.

ZooToday kimlik avı kampanyasının sergilediği bir diğer özellik, bilgisayar korsanları tarafından oluşturulan sahte Microsoft 365 oturum açma sayfaları aracılığıyla toplanan kimlik bilgilerinin diğer e-postalara iletilmemesidir.pediatrik olarak. Bunun yerine ZooToday operatörleri, toplanan giriş bilgilerini sitenin kendisinde saklar. ZooToday'in arkasındaki grup tarafından kullanılan web siteleri, bir bulut depolama sağlayıcısı kullanılarak barındırıldı.