Microsoft har detaljerat en ovanlig nätfiskekampanj som syftar till att stjäla lösenord som använder ett nätfiskekit byggt med kodbitar som kopierats från andra hackers arbete.
Ett “nätfiske-kit” är de olika programvaran eller tjänsterna som är utformade för att underlätta nätfiskeattacker. I det här fallet har kitet kallats ZooToday av Microsoft efter en del text som används av kitet. Microsoft beskrev det också som en “Franken-Phish” eftersom det består av olika element, vissa tillgängliga för försäljning via offentligt tillgängliga bluffsäljare eller återanvänds och ompackas av andra kit-återförsäljare.
Microsoft sa att TodayZoo använder WorkMail-domänen AwsApps[.]com för att pumpa ut e-post med länkar till nätfiskesidor som efterliknar Microsoft 365-inloggningssidan.
SE: Ransomware: Letar efter svagheter i din eget nätverk är nyckeln till att stoppa attacker
Microsoft säger att angriparna har skapat skadliga AWS WorkMail-konton “i stor skala” men använder bara slumpmässigt genererade domännamn istället för namn som skulle representera ett legitimt företag. Med andra ord, det är en rå nätfiskeprodukt som troligen är gjord på en tunn budget, men tillräckligt stor för att märkas.
Det fångade Microsofts uppmärksamhet eftersom det efterliknade Microsofts varumärke och använde en teknik som kallas “nollpunkts teckensnittsobfuscation” – HTML-text med noll teckenstorlek i ett e-postmeddelande – för att undvika mänsklig upptäckt. Microsoft upptäckte en ökning av attacker med nollteckensnitt i juli.
TodayZoo-kampanjer i april och maj i år efterliknade vanligtvis Microsoft 365-inloggningssidor och en begäran om lösenordsåterställning. Dock. Microsoft fann att kampanjer i augusti använde Xerox-märkta fax- och skannermeddelanden för att lura arbetare att ge upp referenser.
Microsofts hotforskare har funnit att de flesta av målsidorna för nätfiske var värd hos molnleverantören DigitalOcean. Dessa sidor var identiska med Microsoft 365 -inloggningssidan.
En annan ovanlig egenskap var att den stulna informationen inte har vidarebefordrats till andra e -postkonton utan lagrats på själva webbplatsen efter skörden av inloggningsuppgifter. Detta beteende var en egenskap hos TodayZoo phishing-kit, som tidigare har fokuserat på nätfiskeuppgifter från Zoom-videomötekonton.
SE: Dessa smygande hackare undviker Windows men rikta in sig på Linux när de vill stjäla telefondata
Men Microsofts forskare tror att denna nätfiskegrupp är en enda operation snarare än ett nätverk av agenter.
“Medan många nätfiske-kit tillskrivs en mängd olika e-postkampanjmönster och omvänt många e-postkampanjmönster är associerade med många phishing-kit, använde TodayZoo-baserade sidor uteslutande samma e-postkampanjmönster, och endast någon av de efterföljande e-postkampanjerna Upptäckt TodayZoo-kit. Dessa får oss att tro att aktörerna bakom denna specifika TodayZoo-implementering arbetar på egen hand, säger Microsoft.
Microsoft säger att det informerade Amazon om TodayZoo -nätfiskekampanjen och att AWS “omedelbart vidtagit åtgärder”.
Säkerhet
Hackare döljer sin skadliga JavaScript-kod med ett svårslagen trick. Denna nya nätfiskeattack har en vapeniserad Excel-fil Har någon annan i hemlighet tillgång till din iPhone eller iPad? Supply chain attacker är hackarens nya favoritvapen Cybersecurity 101: Skydda din integritet från hackare, spioner, regeringen
Relaterade ämnen:
Security TV Data Management CXO Data Centers 