TodayZoo: kit de phishing tipo Frankenstein
Microsoft reveló el jueves una
"extensa serie de campañas de phishing de credenciales" que aprovecha
un kit de phishing personalizado que une componentes de al menos cinco
diferentes de amplia circulación con el objetivo de robar la información de
inicio de sesión del usuario.
El equipo de inteligencia Microsoft,
que detectó las primeras instancias de la herramienta en la naturaleza en
diciembre de 2020, denominó a esta infraestructura como
"TodayZoo".
"La abundancia de kits de phishing y otras herramientas disponibles para la venta o el alquiler hace que sea fácil para un lobo solitario elegir las mejores características de estos kits", dijeron los investigadores. "Ellos juntan estas funcionalidades en un kit personalizado y tratan de cosechar todos los beneficios para ellos mismos. Tal es el caso de TodayZoo".
Los kits de phishing, que a menudo se venden como pagos únicos en foros clandestinos, son archivos empaquetados que contienen imágenes, scripts y páginas HTML que permiten a un actor de amenazas configurar correos electrónicos y páginas de phishing, usándolos como señuelos para recolectar y transmitir credenciales a un atacante. -servidor controlado.
La campaña de phishing TodayZoo no es diferente en el sentido de que los correos electrónicos del remitente se hacen pasar por Microsoft, afirmando ser un restablecimiento de contraseña o notificaciones de fax y escáner, para redirigir a las víctimas a las páginas de recolección de credenciales. Donde se destaca es el propio kit de phishing, que se improvisa a partir de fragmentos de código extraídos de otros kits: "algunos están disponibles para la venta a través de vendedores de estafas de acceso público o son reutilizados y reempaquetados por otros revendedores de kits".
Específicamente, gran parte del marco parece haberse extraído generosamente de otro kit, conocido como DanceVida, mientras que los componentes relacionados con la imitación y la ofuscación se superponen significativamente con el código de al menos otros cinco kits de phishing como Botssoft, FLCFood, Office-RD117, WikiRed y Zenfo. A pesar de depender de módulos reciclados, TodayZoo se desvía de DanceVida en el componente de recolección de credenciales al reemplazar la funcionalidad original con su propia lógica de exfiltración.
En todo caso, la "característica de Frankenstein de TodayZoo" ilustra las diversas formas en que los actores de amenazas aprovechan los kits de phishing con fines nefastos, ya sea alquilándolos a proveedores de phishing como servicio (PhaaS) o construyendo sus propias variantes de desde cero para adaptarse a sus objetivos.
"Esta investigación demuestra además que la mayoría de los kits de phishing observados o disponibles en la actualidad se basan en un grupo más pequeño de 'familias' de kits más grandes. Si bien esta tendencia se ha observado anteriormente, sigue siendo la norma, dado que los kits de phishing que hemos visto comparten grandes cantidades de código entre ellos".
Fuente: THN
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!