*Microsoft avisa sobre o kit de phishing TodayZoo usado em ataques extensivos de roubo de credenciais
A Microsoft divulgou na quinta-feira uma "série extensa de campanhas de phishing de credencial" que tira proveito de um kit de phishing personalizado que junta componentes de pelo menos cinco diferentes amplamente difundidos com o objetivo de desviar informações de login do usuário.
A equipe de inteligência de ameaças do Microsoft 365 da gigante da tecnologia, que detectou as primeiras instâncias da ferramenta em uso em dezembro de 2020, apelidou a infraestrutura de ataque de copiar e colar de " TodayZoo ".
"A abundância de kits de phishing e outras ferramentas disponíveis para venda ou aluguel torna mais fácil para um atacante solitário escolher os melhores recursos desses kits", disseram os pesquisadores. “Eles juntam essas funcionalidades em um kit customizado e tentam colher os benefícios só para eles. É o caso do TodayZoo”.
Kits de phishing, muitas vezes vendidos como pagamentos únicos em fóruns clandestinos, são arquivos compactados contendo imagens, scripts e páginas HTML que permitem que um agente de ameaças configure e-mails e páginas de phishing, usando-os como iscas para colher e transmitir credenciais a um invasor -servidor controlado.
A campanha de phishing TodayZoo não é diferente, pois os e-mails do remetente se fazem passar pela Microsoft, alegando ser redefinição de senha ou notificações de fax e scanner, para redirecionar as vítimas para páginas de coleta de credenciais. Onde ele se destaca é o próprio kit de phishing, que é remendado com pedaços de código retirados de outros kits - "alguns disponíveis para venda por vendedores de golpes de acesso público ou são reutilizados e reembalados por outros revendedores de kits".
Especificamente, grandes partes da estrutura parecem ter sido retiradas generosamente de outro kit, conhecido como DanceVida, enquanto os componentes relacionados à imitação e ofuscação se sobrepõem significativamente ao código de pelo menos cinco outros kits de phishing, como Botssoft, FLCFood, Office-RD117, WikiRed e Zenfo. Apesar de depender de módulos reciclados, TodayZoo se desvia do DanceVida no componente de coleta de credenciais, substituindo a funcionalidade original por sua própria lógica de exfiltração.
No mínimo, a "característica do monstro de Frankenstein de TodayZoo" ilustra as diversas maneiras como os agentes de ameaças utilizam kits de phishing para fins nefastos, seja alugando-os de provedores de phishing-as-a-service ( PhaaS ) ou criando suas próprias variantes a partir de a base para se adequar aos seus objetivos.
"Esta pesquisa prova ainda que a maioria dos kits de phishing observados ou disponíveis hoje são baseados em um grupo menor de 'famílias' de kits maiores", diz a análise da Microsoft. "Embora essa tendência tenha sido observada anteriormente, ela continua a ser a norma, considerando como os kits de phishing que vimos compartilham grandes quantidades de código entre si."
Achou esse artigo interessante? Siga canalfsociety em Instagram, Facebook, Telegram, Twitter, App Boletim Tec e App Mr Robot Sticker para ler mais conteúdo exclusivo que postamos.
Postar um comentário