Microsoft har detaljeret en usædvanlig phishing-kampagne, der har til formål at stjæle adgangskoder, der bruger et phishing-kit bygget ved hjælp af kodestykker, der er kopieret fra andre hackers arbejde.
Et “phishing-kit” er den forskellige software eller tjenester designet til at lette phishing-angreb. I dette tilfælde er kittet blevet kaldt ZooToday af Microsoft efter noget tekst brugt af kittet. Microsoft beskrev det også som en 'Franken-Phish', fordi det består af forskellige elementer, nogle tilgængelige til salg gennem offentligt tilgængelige svindelforhandlere eller genbrugt og ompakket af andre kit-forhandlere.
Microsoft sagde, at TodayZoo bruger WorkMail-domænet AwsApps[.]com for at pumpe e-mail ud med links til phishing-sider, der efterligner Microsoft 365-loginsiden.
SE: Ransomware: Leder efter svagheder i din eget netværk er nøglen til at stoppe angreb
Microsoft siger, at angriberne har oprettet ondsindede AWS WorkMail-konti “i stor skala”, men bruger bare tilfældigt genererede domænenavne i stedet for navne, der ville repræsentere en legitim virksomhed. Med andre ord er det et råt phishing-produkt, der sandsynligvis er lavet på et tyndt budget, men stort nok til at være mærkbart.
Det fangede Microsofts opmærksomhed, fordi det efterlignede Microsofts varemærke og brugte en teknik kaldet “nulpunktsfont obfuscation” – HTML-tekst med nul skriftstørrelse i en e-mail – for at undvige menneskelig opdagelse. Microsoft opdagede en stigning i angreb med nul skrifttyper i juli.
TodayZoo-kampagner i april og maj i år lignede typisk Microsoft 365-loginsider og en anmodning om nulstilling af adgangskode. Imidlertid. Microsoft fandt ud af, at kampagner i august brugte Xerox-mærkede fax- og scannermeddelelser til at narre arbejdere til at opgive deres legitimationsoplysninger.
Microsofts trusselsforskere har fundet ud af, at de fleste af phishing-destinationssiderne var hostet hos skyudbyderen DigitalOcean. Disse sider var identiske med Microsoft 365-loginsiden.
Et andet usædvanligt træk var, at efter indsamling af legitimationsoplysninger blev de stjålne oplysninger ikke videresendt til andre e-mail-konti, men gemt på selve webstedet. Denne adfærd var et træk ved TodayZoo-phishing-sættet, som tidligere har fokuseret på phishing-legitimationsoplysninger fra Zoom-videomødekonti.
SE: Disse snigende hackere undgår Windows, men målrette mod Linux, som de ser ud til at stjæle telefondata
Men Microsoft-forskere mener, at denne phishing-gruppe er en enkelt operation snarere end et netværk af agenter.
“Mens mange phishing-sæt tilskrives en bred vifte af e-mail-kampagnemønstre, og omvendt er mange e-mail-kampagnemønstre forbundet med mange phishing-sæt, brugte TodayZoo-baserede sider udelukkende de samme e-mail-kampagnemønstre, og kun nogen af de efterfølgende e-mail-kampagner. dukkede op til TodayZoo-kits. Disse får os til at tro, at aktørerne bag denne specifikke TodayZoo-implementering fungerer på egen hånd,” sagde Microsoft.
Microsoft siger, at det informerede Amazon om TodayZoo phishing -kampagnen, og at AWS “straks tog handling”.
Sikkerhed
Hackere skjuler deres ondsindede JavaScript-kode med et trick, der er svært at slå eller iPad? Supply chain-angreb er hackerens nye foretrukne våben Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen
Relaterede emner:
Security TV Data Management CXO Data Centres 