Microsoft giovedì ha rivelato una "ampia serie di campagne di phishing delle credenziali" che sfrutta un kit di phishing personalizzato che ha unito i componenti di almeno cinque diversi modelli ampiamente diffusi con l'obiettivo di sottrarre le informazioni di accesso degli utenti.
Il Microsoft 365 Defender Threat Intelligence Team del gigante della tecnologia, che ha rilevato le prime istanze dello strumento in circolazione nel dicembre 2020, ha soprannominato l'infrastruttura di attacco copia e incolla " TodayZoo ".
"L'abbondanza di kit di phishing e altri strumenti disponibili per la vendita o l'affitto rende facile per un aggressore solitario scegliere le migliori caratteristiche di questi kit", hanno detto i ricercatori. "Hanno messo insieme queste funzionalità in un kit personalizzato e cercano di raccogliere i benefici tutti per se stessi. È il caso di TodayZoo".
I kit di phishing, spesso venduti come pagamenti una tantum nei forum sotterranei, sono file di archivio confezionati contenenti immagini, script e pagine HTML che consentono a un attore di minacce di impostare e-mail e pagine di phishing, utilizzandoli come esche per raccogliere e trasmettere credenziali a un utente malintenzionato -server controllato.
La campagna di phishing di TodayZoo non è diversa in quanto le e-mail del mittente impersonano Microsoft, affermando di essere la reimpostazione della password o le notifiche di fax e scanner, per reindirizzare le vittime a pagine di raccolta delle credenziali. Ciò che spicca è il kit di phishing stesso, che è messo insieme da pezzi di codice presi da altri kit: "alcuni sono disponibili per la vendita tramite venditori di truffe pubblicamente accessibili o vengono riutilizzati e riconfezionati da altri rivenditori di kit".
Nello specifico, gran parte del framework sembra essere stato generosamente prelevato da un altro kit, noto come DanceVida, mentre i componenti relativi all'imitazione e all'offuscamento si sovrappongono in modo significativo al codice di almeno altri cinque kit di phishing come Botssoft, FLCFood, Office-RD117, WikiRed e Zenfo. Nonostante si basi su moduli riciclati, TodayZoo si discosta da DanceVida nel componente di raccolta delle credenziali sostituendo la funzionalità originale con la propria logica di esfiltrazione.
Semmai, la "caratteristica del mostro di Frankenstein di TodayZoo" illustra i diversi modi in cui gli attori delle minacce sfruttano i kit di phishing per scopi nefasti, sia noleggiandoli da fornitori di phishing-as-a-service ( PhaaS ) o costruendo le proprie varianti da a terra per soddisfare i loro obiettivi.
"Questa ricerca dimostra ulteriormente che la maggior parte dei kit di phishing osservati o disponibili oggi si basa su un gruppo più piccolo di "famiglie" di kit più grandi", si legge nell'analisi di Microsoft. "Anche se questa tendenza è stata osservata in precedenza, continua a essere la norma, dato il modo in cui i kit di phishing che abbiamo visto condividono grandi quantità di codice tra di loro".
Il Microsoft 365 Defender Threat Intelligence Team del gigante della tecnologia, che ha rilevato le prime istanze dello strumento in circolazione nel dicembre 2020, ha soprannominato l'infrastruttura di attacco copia e incolla " TodayZoo ".
"L'abbondanza di kit di phishing e altri strumenti disponibili per la vendita o l'affitto rende facile per un aggressore solitario scegliere le migliori caratteristiche di questi kit", hanno detto i ricercatori. "Hanno messo insieme queste funzionalità in un kit personalizzato e cercano di raccogliere i benefici tutti per se stessi. È il caso di TodayZoo".
I kit di phishing, spesso venduti come pagamenti una tantum nei forum sotterranei, sono file di archivio confezionati contenenti immagini, script e pagine HTML che consentono a un attore di minacce di impostare e-mail e pagine di phishing, utilizzandoli come esche per raccogliere e trasmettere credenziali a un utente malintenzionato -server controllato.
La campagna di phishing di TodayZoo non è diversa in quanto le e-mail del mittente impersonano Microsoft, affermando di essere la reimpostazione della password o le notifiche di fax e scanner, per reindirizzare le vittime a pagine di raccolta delle credenziali. Ciò che spicca è il kit di phishing stesso, che è messo insieme da pezzi di codice presi da altri kit: "alcuni sono disponibili per la vendita tramite venditori di truffe pubblicamente accessibili o vengono riutilizzati e riconfezionati da altri rivenditori di kit".
Nello specifico, gran parte del framework sembra essere stato generosamente prelevato da un altro kit, noto come DanceVida, mentre i componenti relativi all'imitazione e all'offuscamento si sovrappongono in modo significativo al codice di almeno altri cinque kit di phishing come Botssoft, FLCFood, Office-RD117, WikiRed e Zenfo. Nonostante si basi su moduli riciclati, TodayZoo si discosta da DanceVida nel componente di raccolta delle credenziali sostituendo la funzionalità originale con la propria logica di esfiltrazione.
Semmai, la "caratteristica del mostro di Frankenstein di TodayZoo" illustra i diversi modi in cui gli attori delle minacce sfruttano i kit di phishing per scopi nefasti, sia noleggiandoli da fornitori di phishing-as-a-service ( PhaaS ) o costruendo le proprie varianti da a terra per soddisfare i loro obiettivi.
"Questa ricerca dimostra ulteriormente che la maggior parte dei kit di phishing osservati o disponibili oggi si basa su un gruppo più piccolo di "famiglie" di kit più grandi", si legge nell'analisi di Microsoft. "Anche se questa tendenza è stata osservata in precedenza, continua a essere la norma, dato il modo in cui i kit di phishing che abbiamo visto condividono grandi quantità di codice tra di loro".
Commenti
Posta un commento