Microsoft365Defender团队上周披露了一起大规模证书窃取钓鱼活动,呼吁警惕将不同工具代码拼接成自定义套件窃取用户登录信息钓鱼工具——“TodayZoo”。去年年底,微软团队检测到“TodayZoo”网络钓鱼活动。攻击者冒充Microsoft并发送电子邮件,声称要重置密码或传真和扫描仪通知,将受害者重定向到证书盗窃页面以实施犯罪。具体来说,TodayZoo的攻击方式类似于另一个工具DanceVida,就是模仿和混淆与Botssoft、FLCFood、Office-RD117、WikiRed、Zenfo重叠的相关组件,但是TodayZoo用自己的过滤逻辑替换了原来的功能证书收集组件。根据微软研究人员的说法,TodayZoo之所以被广泛使用,是因为有大量可供出售或出租的网络钓鱼工具,这使得独狼攻击者很容易挑选出最好的功能并将它们组合成一个自定义套件,试图为自己谋利。这些工具包可以通过公开的诈骗卖家出售,也可以由经销商重新调整用途和重新包装。在暗网上,包含图像、脚本和HTML页面的档案通常作为一次性付款出售,以便攻击者可以设置网络钓鱼电子邮件和页面,将它们用作诱饵,并收集凭据并将其传输到攻击者控制的服务器。据微软观察:目前可用的钓鱼工具大多源自现有的工具集群,并且由于钓鱼工具之间大量的代码共享,这种趋势将继续成为一种常态。参考来源:https://thehackernews.com/2021/10/microsoft-warns-of-todayzoo-phishing.html
