谨防!拼凑而成的“ZooToday”网络钓鱼活动旨在收集密码

在 Microsoft 工作的安全研究人员详细介绍了使用奇怪工具集的网络钓鱼活动。该活动被称为 ZooToday,似乎使用了从其他黑客组织的损坏代码中挑选和重用的点点滴滴。

微软的研究人员还用可爱的名字"Franken-Phish"来指代该活动,因为该活动背后的不良行为者所使用的网络钓鱼工具包具有拼凑的性质。 ZooToday 活动使用来自各种来源的代码片段,从暗网上销售的误导性工具包到在线销售的网络钓鱼工具包。

该活动被发现使用 AwsApps(dot)com 域发送网络钓鱼邮件。电子邮件包含指向损坏网页的链接,该网页旨在模仿合法 Office 365 登录页面的外观和设计。

该活动似乎是低预算的相对且省力,因为网络钓鱼电子邮件来自的域使用随机名称,并且没有经过定制以使其看起来像真实公司使用的域和名称。 ZooToday 还在其网络钓鱼电子邮件中使用了所谓的"零点字体混淆"。这意味着电子邮件中有一种字体的字体大小为零点,有效地使其使用 HTML 不可见。

该活动已经进行了一段时间。微软追溯了今年 4 月和 5 月的活动激增,旧的活动使用虚假的微软页面作为诱饵来收集密码。几个月后,即 2021 年 8 月,该活动再次活跃起来,这次是在其网络钓鱼中使用施乐品牌。

ZooToday 网络钓鱼活动的另一个特点是,通过黑客设置的虚假 Microsoft 365 登录页面捕获的收集凭据不会转发到其他电子邮件。热心地。相反,ZooToday 运营商将收集到的登录信息存储在站点本身上。 ZooToday 背后的团队使用的网站是使用云存储提供商托管的。