in

Kit de phishing ‘TodayZoo’ elaborado a partir de otro malware



Según los investigadores de Microsoft 365 Defender Threat, una operación de phishing cortó y pegó componentes de al menos otros cinco kits de phishing para crear su propia plataforma de ataque, el equipo de inteligencia.

El kit TodayZoo, como Microsoft llamó al marco, parece utilizar ampliamente el código de otro kit conocido como DanceVida, mientras que otros componentes son claramente los mismos que el código de al menos otros cinco kits de phishing. Microsoft descubrió por primera vez el kit de phishing en diciembre de 2020, pero una serie de grandes campañas en marzo y junio de 2021 intentaron robar las credenciales de los usuarios de Microsoft, lo que provocó que el equipo de inteligencia de amenazas de la compañía analizara el kit.

La herramienta ciberdelincuente se conoce como «Franken-Phish» debido al uso de partes de otros kits de phishing y parece combinar varios componentes de otras herramientas de phishing en lugar de utilizar una oferta de phishing como servicio, dice Tanmay Ganacharya. Socio Director de Investigación de Seguridad en Microsoft Defender.

«En última instancia, al igual que el malware, los kits de phishing son siempre más modulares y, en ocasiones, desafían la asignación familiar adecuada», dice. «Otros kits que son similares y tienen un código común también están bien protegidos en este momento, pero vemos nuevos kits y páginas de phishing todos los días que desafían los nombres estándar porque se transforman muy rápido».

El phishing sigue siendo un método extremadamente popular para robar información confidencial y credenciales legítimas de usuarios desprevenidos. Según un informe publicado esta semana por Jamf, un proveedor de herramientas de gestión empresarial para computadoras y dispositivos de Apple, es menos probable que los ataques exitosos se realicen a través de un cliente de correo electrónico y es más probable que se dirijan a usuarios móviles. Alrededor del 10% de los usuarios de dispositivos móviles hicieron clic en un enlace de phishing en el último año, un aumento del 160% en los últimos 12 meses, según la compañía en su “Informe de tendencias de phishing 2021”.

Las marcas más populares que fueron blanco de ataques de phishing en 2021 fueron Apple, PayPal, Amazon y Microsoft, según el informe.

«La transmisión de ataques de phishing ha ido más allá de los correos electrónicos de ‘premios de lotería no reclamados’ mal redactados», según el informe de Jamf. «No solo son más personalizados y atractivos, sino que llegan a los usuarios en más lugares que nunca y van cada vez más allá de los consumidores para centrarse en las credenciales y los datos comerciales».

Kits de phishing de cerca
Los kits de phishing suelen tener tres componentes principales: una función de imitación que crea páginas de inicio de sesión muy cercanas a una marca en particular; una serie de funciones que disfrazan el código malicioso en las páginas, incluidas las funciones de anti-análisis; y código que recopila credenciales de usuario u otra información confidencial y la envía al atacante.

En su análisis, Microsoft descubrió que TodayZoo y DanceVida tenían una superposición del 30-35% entre el código incluido en los dos kits. Las dos bases de código diferían significativamente en cómo manejaban la recopilación de credenciales.

«[B]Dada la coherencia en los patrones de redireccionamiento, dominios y otras técnicas, tácticas y procedimientos (TTP) de las campañas asociadas, creemos que los actores detrás de esto se han topado con una plantilla de kit de phishing antiguo y están reemplazando la parte de recopilación de credenciales con la suya propia. tienen lógica de exfiltración para hacer TodayZoo únicamente para sus nefastos propósitos «, dijeron los investigadores de Microsoft.

Todas las campañas TodayZoo utilizaron el mismo ataque de cuatro pasos, que consistía en enviar correos electrónicos a usuarios específicos que luego eran redirigidos a una primera página. Luego, los navegadores de las víctimas fueron redirigidos a una segunda página, que luego dirigió a la víctima a una página de destino final alojada, en casi todos los casos, por el proveedor de servicios Digital Ocean.

«[T]Su investigación también muestra que la mayoría de los kits de phishing observados o disponibles en la actualidad se basan en un grupo más pequeño de familias de kits más grandes, «según el análisis de los kits de Microsoft que vimos compartir grandes cantidades de código».

El código de TodayZoo y los scripts utilizados para crear las páginas incluían una gran cantidad de artefactos de la fuente original del código, según Microsoft. Tales enlaces muertos y devoluciones de llamada a otros kits podrían indicar que muchos distribuidores de kits de phishing y operadores de phishing están tomando rápidamente fragmentos de código de las fuentes disponibles para construir sus herramientas, dice Microsoft.

«Es probable que veamos más kits de adoquines en el futuro, así como kits más efectivos en general, que algunos de los más genéricos». [and] Los obvios ya no se utilizan en favor de los kits evasivos que evitan la omisión de sandbox, incorporan CAPTCHA, codifican código fuente o usan lenguajes de programación o tipos de recursos separados «, dijo Phillip Misner, Gerente Principal del Grupo de Seguridad en Microsoft.

Misner advirtió que el phishing de credenciales continúa representando una amenaza para las empresas, especialmente si las empresas no filtran adecuadamente los remitentes y mensajes de correo electrónico sospechosos. Las empresas deberían considerar adoptar la autenticación multifactor y fortalecer las configuraciones de sus servidores de correo para dificultar los ataques de phishing, dice.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

¿Cómo es una mejor gestión de riesgos internos?

Ejecute Powershell sin restricciones de software