注意してください!パッチワーク「ZooToday」フィッシングキャンペーンはパスワードの収集を目指しています

マイクロソフトで働いているセキュリティ研究者は、奇妙なツールセットを使用するフィッシングキャンペーンについて詳しく説明しました。キャンペーンはZooTodayと呼ばれ、他のハッキンググループの破損したコードから選択されて再利用されたビットとボブを使用しているようです。

マイクロソフトの研究者たちは、キャンペーンの背後にいる悪意のある人物が採用したフィッシングキットのパッチワークの性質から、このキャンペーンを「フランケンフィッシュ」という愛らしい名前で呼んでいます。 ZooTodayキャンペーンでは、ダークウェブで販売されている誤解を招くキットからオンラインで販売されているフィッシングキットまで、さまざまなソースから発信されたコードを使用しています。

キャンペーンは、AwsApps(dot)comドメインを使用してフィッシングメールを配布することで発見されました。電子メールには、正規のOffice365ログインページの外観とデザインを模倣するように構築された破損したWebページを指すリンクが含まれています。

キャンペーンは低予算のようですフィッシングメールの送信元のドメインはランダムな名前を使用しており、実際の企業で使用されているドメインや名前のように見えるように調整されていないため、比較的手間がかかりません。 ZooTodayは、フィッシングメールで「ゼロポイントフォント難読化」と呼ばれるものも使用しています。これは、ゼロポイントのフォントサイズが指定されたフォントが電子メールに含まれていることを意味し、HTMLを使用して事実上非表示にします。

キャンペーンはしばらく続いています。マイクロソフトは今年の4月と5月に活動の急増を追跡し、古いキャンペーンではパスワードを収集するための餌として偽のマイクロソフトページを使用していました。数か月後の2021年8月、キャンペーンはさらに活発に活動し、今回はフィッシングにXeroxブランドを使用していました。

ZooTodayフィッシングキャンペーンが示すもう1つの特徴は、ハッカーによって設定された偽のMicrosoft 365ログインページを介してキャプチャされた収集された資格情報が、他の電子メールに転送されないことです。ediately。代わりに、ZooTodayオペレーターは、収集したログイン情報をサイト自体に保存します。 ZooTodayの背後にあるグループが使用するWebサイトは、クラウドストレージプロバイダーを使用してホストされていました。