Microsoft advierte contra la suite de phishing TodayZoo utilizada en ataques de robo de credenciales a gran escala

El jueves, Microsoft lanzó una «amplia serie de campañas de phishing sobre credenciales», utilizando un conjunto de phishing patentado que reunió componentes de al menos cinco anchos diferentes para obtener las credenciales de un usuario.

El equipo del gigante tecnológico Microsoft 365 Defender Threat Intelligence Team, que detectó las primeras apariciones de esta herramienta en la naturaleza en diciembre de 2020, llamó a la infraestructura de ataque «Copiar y pegar» «TodayZoo».

«La cantidad de kits de phishing y otras herramientas disponibles para la venta o el alquiler hace que sea más fácil para un atacante solitario elegir las mejores características de estos kits», dijeron los investigadores. «Combinan estas funciones en un conjunto personalizado y tratan de aprovecharlas al máximo. Ese es el caso de TodayZoo».

Los kits de phishing, a menudo vendidos como pagos únicos en foros clandestinos, son archivos empaquetados que contienen imágenes, scripts y páginas HTML que permiten a un actor de amenazas configurar sitios y correos electrónicos de phishing y usarlos como cebo para recopilar y transmitir credenciales a un agresor. – servidor administrado.

La campaña de phishing de TodayZoo no es diferente en el sentido de que los correos electrónicos de los remitentes son suplantados por Microsoft y afirman que se trata de un restablecimiento de contraseña o una alerta de fax y escáner para redirigir a las víctimas a sitios de credenciales. Donde sobresale es el propio kit de phishing, que se compone de fragmentos de código tomados de otras suites: «algunos disponibles para la venta a través de proveedores fraudulentos disponibles públicamente o reutilizados y reempaquetados por otros proveedores de kits».

En particular, gran parte del marco parece haberse eliminado generosamente de otra suite, conocida como DanceVida, mientras que los componentes de imitación y nebulización se superponen significativamente con el código de al menos otros cinco paquetes de phishing, como Botssoft, FLCfood, Office-RD117, WikiRed. y Zenfo. A pesar de depender de módulos reciclados, TodayZoo se desvía de DanceVido en el componente de acreditación al reemplazar la funcionalidad original con su propia lógica de extracción.

En todo caso, la «característica del monstruo de Frankenstein de TodayZoo» ilustra las diferentes formas en que los actores de amenazas utilizan los kits de phishing con fines desleales, ya sea mediante la contratación de proveedores de phishing como servicio (PhaaS) o la creación de variantes personalizadas desde la base hasta adecuarse a sus objetivos.

«Esta investigación demuestra además que la mayoría de las suites de phishing observadas o disponibles en la actualidad se basan en un grupo más pequeño de ‘familias’ de suites más grandes», dijo Microsoft. «Aunque esta tendencia se ha observado antes, sigue siendo la norma ya que los kits de phishing que hemos visto comparten mucho código».

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática