Microsoft varuje pred phishingovou súpravou TodayZoo používanou pri rozsiahlych útokoch na krádeže poverení

Spoločnosť Microsoft vo štvrtok zverejnila „rozsiahlu sériu phishingových kampaní“, ktoré využívajú vlastnú phishingovú súpravu, ktorá spájala komponenty z najmenej piatich rôznych široko rozšírených s cieľom získať prihlasovacie informácie používateľa.

Tím technologického giganta Microsoft 365 Defender Threat Intelligence Team, ktorý v decembri 2020 zistil prvé výskyty tohto nástroja vo voľnej prírode, nazval infraštruktúru útokov kopírovania a vkladania „TodayZoo“.

„Množstvo phishingových súprav a iných nástrojov dostupných na predaj alebo prenájom uľahčuje útočníkom vlkom samotárom vybrať si z týchto súprav tie najlepšie vlastnosti,“ uviedli vedci. “Dajú tieto funkcie dohromady do prispôsobenej súpravy a snažia sa využiť všetky výhody pre seba. To je prípad TodayZoo.”

Súpravy na neoprávnené získavanie údajov, ktoré sa často predávajú ako jednorazové platby na podzemných fórach, sú zabalené archívne súbory obsahujúce obrázky, skripty a stránky HTML, ktoré umožňujú aktérovi hrozby nastaviť phishingové e-maily a stránky a použiť ich ako návnady na zber a prenos poverení útočníkovi. – riadený server.

Phishingová kampaň TodayZoo sa nijako nelíši v tom, že e-maily odosielateľov sa vydávajú za Microsoft, pričom tvrdia, že ide o resetovanie hesla alebo faxové a skenerové upozornenia, aby presmerovali obete na stránky na získavanie poverení. Tam, kde vyniká, je samotná phishingová súprava, ktorá je poskladaná z kúskov kódu prevzatých z iných súprav – „niektoré sú dostupné na predaj prostredníctvom verejne dostupných podvodných predajcov alebo sú opätovne použité a prebalené inými predajcami súprav.“

Konkrétne sa zdá, že veľké časti rámca boli veľkoryso vyňaté z inej súpravy, známej ako DanceVida, zatiaľ čo komponenty súvisiace s imitáciou a zahmlievaním sa výrazne prekrývajú s kódom z najmenej piatich ďalších súprav na phishing, ako sú Botssoft, FLCfood, Office-RD117, WikiRed a Zenfo. Napriek tomu, že sa spolieha na recyklované moduly, TodayZoo sa odchyľuje od DanceVida v komponente získavania poverení nahradením pôvodnej funkcie vlastnou exfiltračnou logikou.

„Frankensteinovo monštrum charakteristické pre TodayZoo“ ilustruje rôzne spôsoby, akými aktéri hrozieb využívajú phishingové súpravy na nekalé účely, či už ich prenajímaním od poskytovateľov phishing-as-a-service (PhaaS) alebo vytváraním vlastných variantov z základ, aby vyhovovali ich cieľom.

„Tento výskum ďalej dokazuje, že väčšina spozorovaných alebo dostupných súprav na phishing je dnes založená na menšom zhluku väčších „rodín“ súprav,“ uvádza sa v analýze spoločnosti Microsoft. “Aj keď bol tento trend pozorovaný už v minulosti, stále je to norma vzhľadom na to, ako phishingové súpravy, ktoré sme videli, medzi sebou zdieľali veľké množstvo kódu.”