近日,微软在对近期一次钓鱼攻击的分析中发现,不法分子使用了一种名为TodayZoo的新工具包,该工具包没有任何自研功能,而且是拼凑而成的剪裁和结合其他恶意软件。TodayZoo工具包大量使用了另一个工具包DanceVida的代码,而其他组件与至少五个网络钓鱼工具包的代码显着匹配。据了解,微软于2020年12月首次发现该钓鱼工具包,但在2021年3月和2021年6月的一系列重大活动中,该工具包试图窃取微软用户凭据,导致微软威胁情报团队对该钓鱼工具包展开调查。工具包进行了分析。在其分析中,微软发现TodayZoo和DanceVida套件之间大约有30%-35%的代码重叠,但是,这两个代码库在处理凭证收集的方式上存在差异。MicrosoftDefender安全研究合作主管TanmayGanacharya表示,该网络犯罪工具被称为“FrankenPhishing”,因为它使用了其他网络钓鱼工具包的一部分,这些工具包似乎包含与其他网络钓鱼工具不同的组件。一起使用,而不是使用网络钓鱼即服务产品。TodayZoo工具包与其他常见的网络钓鱼工具包一样,TodayZoo使用相同的四步攻击:第一步是向目标用户发送电子邮件;第二步是将目标用户重定向到初始页面;第三步是将受害者的浏览器重定向到第二个页面;在大多数情况下,最终受害者会被引导至DigitalOcean托管的最终登录页面。“由于重定向模式、域名以及与其活动相关的其他技术、政策和程序(TTP)的一致性,我们认为攻击者‘定制’了旧的网络钓鱼工具包模板,修改了凭证收集功能,添加了他们自己的漏洞百出的逻辑使得TodayZoo只能用于其邪恶的目的。”微软进一步分析称,“钓鱼工具包,类似于恶意软件,将变得越来越模块化”。除了模块化之外,网络钓鱼的战场也在从电子邮件转移到移动设备。很少有来自电子邮件客户端。微软在其《2021年网络钓鱼趋势报告》中表示,在过去的一年中,约有10%的移动设备用户点击了网络钓鱼链接,在过去的12个月中增加了160%。“研究表明,大多数网络钓鱼工具包都基于少数大型工具包‘家族’,”微软指出。“通过我们的观察,钓鱼工具包共享大量代码,已经成为常态。”【本文为专栏作者“安安牛”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
