in

Microsoft advierte sobre el kit de phishing TodayZoo, que se utiliza para robar credenciales en ataques a gran escala


Microsoft anunció el jueves una «extensa línea de campañas de phishing de credenciales» que utilizan un kit de phishing personalizado que combina componentes de al menos cinco diferentes de uso generalizado con el objetivo de robar la información de inicio de sesión del usuario.

El equipo de inteligencia de amenazas de Microsoft 365 Defender del gigante de la tecnología, que descubrió las primeras instancias de la herramienta en la naturaleza en diciembre de 2020, llamó a la infraestructura de ataque de copiar y pegar «TodayZoo».

Copias de seguridad automáticas de GitHub

«La gran cantidad de kits de phishing y otras herramientas disponibles para la venta o el alquiler hace que sea fácil para un lobo solitario elegir las mejores características de estos kits», dijeron los investigadores. «Ellos juntan estas funcionalidades en un kit a medida y tratan de aprovechar los beneficios por sí mismos. Este es el caso de TodayZoo».

Los kits de phishing, que a menudo se venden como pago único en foros clandestinos, son archivos empaquetados que contienen imágenes, scripts y páginas HTML que permiten a un actor de amenazas configurar páginas y correos electrónicos de phishing y usarlos como cebo para obtener credenciales, recopilar y transmitir. a un servidor controlado por un atacante.

La campaña de phishing de TodayZoo no es diferente en el sentido de que los correos electrónicos del remitente pretenden ser Microsoft y pretenden ser restablecimientos de contraseña o notificaciones de fax y escáner para redirigir a las víctimas a sitios de recolección de credenciales. Lo que se destaca es el propio kit de phishing, que se obtiene a partir de fragmentos de código de otros kits: «algunos están disponibles a través de vendedores de estafas disponibles públicamente o son reutilizados y empaquetados por otros revendedores de kits».

En particular, grandes partes del marco parecen haber sido extraídas generosamente de otro kit conocido como DanceVida, mientras que los componentes de imitación y ofuscación son claramente idénticos al código de al menos otros cinco kits de phishing como Botssoft, FLCFood, Office-RD117, WikiRed. y Zenfo. Aunque TodayZoo se basa en módulos reciclados, TodayZoo difiere en el componente de recolección de credenciales de DanceVida al reemplazar la funcionalidad original con su propia lógica de exfiltración.

En todo caso, la «característica del monstruo de Frankenstein de TodayZoo» muestra las muchas formas en que los actores de amenazas usan los kits de phishing con fines nefastos, ya sea alquilando proveedores de phishing como servicio (PhaaS) o construyendo sus propias variantes de Soil para alcanzar sus objetivos. .

«Esta investigación demuestra además que la mayoría de los kits de phishing observados o disponibles en la actualidad se basan en un grupo más pequeño de» familias «de kits más grandes», dijo el análisis de Microsoft. «Si bien esta tendencia se ha visto antes, sigue siendo la norma, ya que los kits de phishing que hemos visto intercambian grandes cantidades de código entre sí».



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Hacker vende datos de millones de conductores de Moscú por 800 dólares

Biblioteca popular de NPM secuestrada para instalar mineros y ladrones de contraseñas