Microsoft har detaljert en uvanlig phishing-kampanje som tar sikte på å stjele passord som bruker et phishing-sett bygget med kodebiter kopiert fra andre hackers arbeid.
Et “phishing-sett” er den ulike programvaren eller tjenestene som er utviklet for å lette phishing-angrep. I dette tilfellet har settet blitt kalt ZooToday av Microsoft etter litt tekst brukt av settet. Microsoft beskrev det også som en “Franken-phish” fordi det består av forskjellige elementer, noen tilgjengelige for salg gjennom offentlig tilgjengelige svindelselgere eller gjenbrukt og pakket om av andre settforhandlere.
Microsoft sa at TodayZoo bruker WorkMail-domenet AwsApps[.]com for å pumpe ut e-post med lenker til phishing-sider som etterligner Microsoft 365-påloggingssiden.
SE: Ransomware: Leter etter svakheter i din eget nettverk er nøkkelen til å stoppe angrep
Microsoft sier at angriperne har opprettet ondsinnede AWS WorkMail-kontoer “i stor skala”, men bruker bare tilfeldig genererte domenenavn i stedet for navn som ville representert et legitimt selskap. Med andre ord, det er et grovt phishing-produkt sannsynligvis laget på et tynt budsjett, men stort nok til å være merkbart.
Det fanget Microsofts oppmerksomhet fordi det etterlignet Microsofts merkevare og brukte en teknikk kalt “nullpunktsfont obfuscation” – HTML-tekst med null skriftstørrelse i en e-post – for å unngå menneskelig gjenkjenning. Microsoft oppdaget en økning i angrep med nullskrift i juli.
TodayZoo-kampanjer i april og mai i år etterlignet vanligvis Microsoft 365-påloggingssider og en forespørsel om tilbakestilling av passord. Derimot. Microsoft fant ut at kampanjer i august brukte Xerox-merkede faks- og skannervarsler for å lure arbeidere til å gi opp legitimasjon.
Microsofts trusselforskere har funnet ut at de fleste av phishing-landingssidene var vert hos skyleverandøren DigitalOcean. Disse sidene var identiske med Microsoft 365-påloggingssiden.
Et annet uvanlig trekk var at etter innhenting av legitimasjon ble den stjålne informasjonen ikke videresendt til andre e-postkontoer, men lagret på selve nettstedet. Denne oppførselen var et trekk ved TodayZoo phishing-settet, som tidligere har fokusert på phishing-legitimasjon fra Zoom-videomøtekontoer.
SE: Disse snikende hackerne unngår Windows, men målrette mot Linux når de ser ut til å stjele telefondata
Men Microsoft-forskere mener at denne phishing-gruppen er en enkelt operasjon i stedet for et nettverk av agenter.
“Mens mange phishing-sett tilskrives et bredt utvalg av e-postkampanjemønstre, og omvendt, mange e-postkampanjemønstre er assosiert med mange phishing-sett, brukte TodayZoo-baserte sider utelukkende de samme e-postkampanjemønstrene, og bare noen av de påfølgende e-postkampanjene dukket opp TodayZoo-sett. Disse får oss til å tro at aktørene bak denne spesifikke TodayZoo-implementeringen opererer på egenhånd,” sa Microsoft.
Microsoft sier at de informerte Amazon om TodayZoo-nettfiskingkampanjen og at AWS “prompte tok affære”.
Sikkerhet
Hackere skjuler den ondsinnede JavaScript-koden sin med et vanskelig triks Dette nye phishing-angrepet har en våpenbeskyttet Excel-fil Har noen andre i hemmelighet tilgang til din iPhone eller iPad? Supply chain -angrep er hackers nye favorittvåpen Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, myndighetene
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 