cDc: Hacktivism en de oorsprong van cyberbeveiliging Nu bekijken
Microsoft heeft een ongebruikelijke phishing-campagne beschreven die gericht is op het stelen van wachtwoorden en die gebruikmaakt van een phishing-kit die is gebouwd met stukjes code die zijn gekopieerd van het werk van andere hackers.
Een “phishing-kit” is de verschillende software of services die zijn ontworpen om phishing-aanvallen te vergemakkelijken. In dit geval is de kit door Microsoft ZooToday genoemd naar wat tekst die door de kit is gebruikt. Microsoft beschreef het ook als een 'Franken-Phish' omdat het uit verschillende elementen bestaat, waarvan sommige beschikbaar zijn voor verkoop via openbaar toegankelijke oplichters of hergebruikt en opnieuw verpakt door andere kit-resellers.
Microsoft zei dat TodayZoo gebruikt het WorkMail-domein AwsApps[.]com om e-mail uit te pompen met links naar phishing-pagina's die de Microsoft 365-aanmeldingspagina nabootsen.
ZIE: Ransomware: op zoek naar zwakke punten in uw eigen netwerk is de sleutel tot het stoppen van aanvallen
Microsoft zegt dat de aanvallers kwaadaardige AWS WorkMail-accounts “op schaal” hebben gemaakt, maar alleen willekeurig gegenereerde domeinnamen gebruiken in plaats van namen die een legitiem bedrijf zouden vertegenwoordigen. Met andere woorden, het is een grof phishing-product dat waarschijnlijk met een klein budget is gemaakt, maar groot genoeg om op te vallen.
Het trok de aandacht van Microsoft omdat het het merk van Microsoft imiteerde en een techniek gebruikte genaamd “zero-point font obfuscation” – HTML-tekst met een lettergrootte van nul in een e-mail – om menselijke detectie te ontwijken. Microsoft ontdekte in juli een toename van zero-font-aanvallen.
TodayZoo-campagnes in april en mei van dit jaar imiteerden meestal Microsoft 365-aanmeldingspagina's en een verzoek om wachtwoord opnieuw in te stellen. Echter. Microsoft ontdekte dat campagnes in augustus fax- en scannermeldingen van het merk Xerox gebruikten om werknemers te misleiden om hun referenties op te geven.
De dreigingsonderzoekers van Microsoft hebben ontdekt dat de meeste phishing-bestemmingspagina's werden gehost binnen cloudprovider DigitalOcean. Die pagina's waren identiek aan de aanmeldingspagina van Microsoft 365.
Een ander ongebruikelijk kenmerk was dat na het verzamelen van de inloggegevens, de gestolen informatie niet werd doorgestuurd naar andere e-mailaccounts, maar op de site zelf werd opgeslagen. Dit gedrag was een kenmerk van de phishingkit van TodayZoo, die zich eerder richtte op phishing-inloggegevens van Zoom-videovergaderingsaccounts.
ZIE: Deze heimelijke hackers vermijden Windows, maar richt zich op Linux terwijl ze telefoongegevens willen stelen
Maar Microsoft-onderzoekers geloven dat deze phishing-groep een enkele operatie is in plaats van een netwerk van agenten.
“Hoewel veel phishing-kits worden toegeschreven aan een breed scala aan e-mailcampagnepatronen en, omgekeerd, veel e-mailcampagnepatronen worden geassocieerd met veel phishing-kits, gebruikten op TodayZoo gebaseerde pagina's uitsluitend dezelfde e-mailcampagnepatronen en alle daaropvolgende e-mailcampagnes alleen Vandaag zijn er TodayZoo-kits opgedoken. Deze doen ons geloven dat de actoren achter deze specifieke TodayZoo-implementatie op zichzelf werken”, aldus Microsoft.
Microsoft zegt Amazon te hebben geïnformeerd over de phishingcampagne van TodayZoo en dat AWS “onmiddellijk actie heeft ondernomen”.
Beveiliging
Hackers verbergen hun kwaadaardige JavaScript-code met een moeilijk te verslaan truc Deze nieuwe phishing-aanval bevat een bewapend Excel-bestand Heeft iemand anders stiekem toegang tot je iPhone of iPad? Supply chain-aanvallen zijn het nieuwe favoriete wapen van hackers Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid
gerelateerde onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 