Microsoft advierte sobre el kit de phishing TodayZoo, que se utiliza para robar credenciales en ataques a gran escala
Microsoft anunció el jueves una «extensa línea de campañas de phishing de credenciales» que utilizan un kit de phishing personalizado que combina componentes de al menos cinco diferentes de uso generalizado con el objetivo de robar la información de inicio de sesión del usuario.
El equipo de inteligencia de amenazas de Microsoft 365 Defender del gigante de la tecnología, que descubrió las primeras instancias de la herramienta en la naturaleza en diciembre de 2020, llamó a la infraestructura de ataque de copiar y pegar «TodayZoo».
«La gran cantidad de kits de phishing y otras herramientas disponibles para la venta o el alquiler hace que sea fácil para un lobo solitario elegir las mejores características de estos kits», dijeron los investigadores. «Ellos juntan estas funcionalidades en un kit a medida y tratan de aprovechar los beneficios por sí mismos. Este es el caso de TodayZoo».
Los kits de phishing, que a menudo se venden como pago único en foros clandestinos, son archivos empaquetados que contienen imágenes, scripts y páginas HTML que permiten a un actor de amenazas configurar páginas y correos electrónicos de phishing y usarlos como cebo para obtener credenciales, recopilar y transmitir. a un servidor controlado por un atacante.
La campaña de phishing de TodayZoo no es diferente en el sentido de que los correos electrónicos del remitente pretenden ser Microsoft y pretenden ser restablecimientos de contraseña o notificaciones de fax y escáner para redirigir a las víctimas a sitios de recolección de credenciales. Lo que se destaca es el propio kit de phishing, que se obtiene a partir de fragmentos de código de otros kits: «algunos están disponibles a través de vendedores de estafas disponibles públicamente o son reutilizados y empaquetados por otros revendedores de kits».
En particular, grandes partes del marco parecen haber sido extraídas generosamente de otro kit conocido como DanceVida, mientras que los componentes de imitación y ofuscación son claramente idénticos al código de al menos otros cinco kits de phishing como Botssoft, FLCFood, Office-RD117, WikiRed. y Zenfo. Aunque TodayZoo se basa en módulos reciclados, TodayZoo difiere en el componente de recolección de credenciales de DanceVida al reemplazar la funcionalidad original con su propia lógica de exfiltración.
En todo caso, la «característica del monstruo de Frankenstein de TodayZoo» muestra las muchas formas en que los actores de amenazas usan los kits de phishing con fines nefastos, ya sea alquilando proveedores de phishing como servicio (PhaaS) o construyendo sus propias variantes de Soil para alcanzar sus objetivos. .
«Esta investigación demuestra además que la mayoría de los kits de phishing observados o disponibles en la actualidad se basan en un grupo más pequeño de» familias «de kits más grandes», dijo el análisis de Microsoft. «Si bien esta tendencia se ha visto antes, sigue siendo la norma, ya que los kits de phishing que hemos visto intercambian grandes cantidades de código entre sí».
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
