Microsoft reveló el jueves una «extensa serie de campañas de phishing de credenciales» que aprovecha un kit de phishing personalizado que unía componentes de al menos cinco diferentes de amplia circulación con el objetivo de desviar la información de inicio de sesión del usuario.
El equipo de inteligencia de amenazas de Microsoft 365 Defender del gigante tecnológico, que detectó las primeras instancias de la herramienta en la naturaleza en diciembre de 2020, denominó la infraestructura de ataque de copiar y pegar » TodayZoo «.
«La abundancia de kits de phishing y otras herramientas disponibles para la venta o el alquiler hace que sea fácil para un atacante lobo solitario elegir las mejores características de estos kits», dijeron los investigadores. «Ellos juntan estas funcionalidades en un kit personalizado e intentan cosechar todos los beneficios para ellos mismos. Tal es el caso de TodayZoo».
Los kits de phishing, que a menudo se venden como pagos únicos en foros clandestinos, son archivos empaquetados que contienen imágenes, scripts y páginas HTML que permiten a un actor de amenazas configurar correos electrónicos y páginas de phishing, usándolos como señuelos para recolectar y transmitir credenciales a un atacante. -servidor controlado.
La campaña de phishing TodayZoo no es diferente en el sentido de que los correos electrónicos del remitente se hacen pasar por Microsoft, afirmando ser un restablecimiento de contraseña o notificaciones de fax y escáner, para redirigir a las víctimas a las páginas de recolección de credenciales. Donde se destaca es el propio kit de phishing, que se improvisa a partir de fragmentos de código extraídos de otros kits: «algunos están disponibles para la venta a través de vendedores de estafas de acceso público o son reutilizados y reempaquetados por otros revendedores de kits».
Específicamente, gran parte del marco parece haber sido extraído generosamente de otro kit, conocido como DanceVida, mientras que los componentes relacionados con la imitación y la ofuscación se superponen significativamente con el código de al menos otros cinco kits de phishing como Botssoft, FLCFood, Office-RD117, WikiRed y Zenfo. A pesar de depender de módulos reciclados, TodayZoo se desvía de DanceVida en el componente de recolección de credenciales al reemplazar la funcionalidad original con su propia lógica de exfiltración.
En todo caso, la «‘característica del monstruo de Frankenstein de TodayZoo» ilustra las diversas formas en que los actores de amenazas aprovechan los kits de phishing con fines nefastos, ya sea alquilándolos a proveedores de phishing como servicio (PhaaS) o construyendo sus propias variantes de desde cero para adaptarse a sus objetivos.
«Esta investigación demuestra además que la mayoría de los kits de phishing observados o disponibles en la actualidad se basan en un grupo más pequeño de ‘familias’ de kits más grandes», se lee en el análisis de Microsoft. «Si bien esta tendencia se ha observado anteriormente, sigue siendo la norma, dado que los kits de phishing que hemos visto comparten grandes cantidades de código entre ellos».
