Компания Microsoft раскрыла «обширную серию фишинговых кампаний, связанных с кражей учетных данных», в которых использовался кастомный фишинговый набор, состоящий из компонентов как минимум пяти других различных широко распространенных наборов вредоносного ПО с целью выманить у пользователей информацию для входа в систему.
Команда Microsoft 365 Defender Threat Intelligence Team технологического гиганта, которая обнаружила первые экземпляры этого инструмента в дикой природе в декабре 2020 года, называет его «TodayZoo».
«Обилие фишинговых наборов и других инструментов, доступных для покупки или аренды, позволяет злоумышленникам-одиночкам легко выбирать лучшие функции из этих наборов» - заявили исследователи. «Они собирают эти функции в индивидуальные наборы и пытаются извлечь из их применения финансовую выгоду. Именно такой случай произошел с TodayZoo».
Фишинговые наборы, которые часто продаются на подпольных форумах, представляют собой архивные файлы, содержащие образы, скрипты и HTML-страницы, которые позволяют атакующему создавать фишинговые электронные письма и страницы, используя их в качестве приманки для сбора и передачи учетных данных на контролируемый злоумышленником сервер.
Фишинговая кампания TodayZoo не особенно отличается от прочих: отправители электронных писем выдают себя за Microsoft, утверждая, что это уведомления о сбросе пароля или оповещения от факса и сканера. Поддельные ссылки в оповещениях перенаправляют жертв на страницы сбора учетных данных. Отличительной особенностью является сам фишинговый набор, который собран из кусков кода, взятых из других наборов – «некоторые из них доступны через общедоступных продавцов мошеннических инструментов или повторно используются и переупаковываются другими продавцами наборов».
В частности, значительные части фреймворка, похоже, были щедро взяты из набора, известного как DanceVida, а компоненты, связанные с имитацией и обфускацией, значительно пересекаются с кодом как минимум пяти других фишинговых наборов, таких как Botssoft, FLCFood, Office-RD117, WikiRed и Zenfo. Несмотря на использование переработанных модулей, TodayZoo отличается от DanceVida в компоненте сбора учетных данных, заменив оригинальную функциональность собственной логикой извлечения.
В любом случае - существование TodayZoo, похожего на монстра Франкенштейна, иллюстрирует разнообразные способы использования фишинговых наборов злоумышленника в неблаговидных целях, будь то аренда у поставщиков фишинговых сервисов (PhaaS) или создание собственных вариантов с нуля в соответствии со своими целями.
«Это исследование еще раз доказывает, что большинство доступных сегодня фишинговых наборов основаны на небольшом кластере более крупных «семейств» вредоносного ПО» - говорится в анализе Microsoft. «Хотя эта тенденция наблюдалась и ранее, она продолжает оставаться нормой, а большие куски кода мигрируют между разными инструментами».
Источник: https://thehackernews.com
