TodayZoo 釣魚工具包借用了其他工具包的代碼

Microsoft 研究人員發現了一個名為 TodayZoo 的自定義網絡釣魚工具包，該工具包用于一系列廣泛的憑據網絡釣魚活動。

“網絡釣魚工具包”是一組旨在促進網絡釣魚活動的軟件或服務。在大多數情況下，網絡釣魚工具包是包含圖像、腳本和 HTML 頁面的存檔文件，允許威脅參與者創建用于欺騙的網絡釣魚頁面收件人提供他們的憑據。

TodayZoo 從微軟過去調查過的其他釣魚工具包中借用了大量代碼，這些代碼部分還包括注釋標記、死鏈接和以前工具包的其他保留。

這家 IT 巨頭于 2020 年 12 月首次發現該工具包，由于其相關活動的重定向模式、域和其他技術、策略和程序 (TTP) 的一致性，專家將該工具包歸因于威脅行為者在舊的網絡釣魚工具包模板后面。微軟專家推測這三個參與者已經實施了自己的憑據收集邏輯。

自 2021 年 3 月以來，Microsoft 觀察到一系列濫用 AwsApps[.]com 域來發送網絡釣魚消息的網絡釣魚活動。這些電子郵件冒充 Microsoft，并利用 零點字體混淆技術 來逃避檢測。 

幾個月來，攻擊者在郵件正文中使用了不同的誘餌，包括密碼重置、偽造的傳真和掃描儀通知。

對該工具包的分析顯示，大部分代碼借鑒了 DanceVida 網絡釣魚工具包。

“經過進一步調查，我們發現死鏈和標記是許多其他可免費或購買的商品化套件的遺留物。然后，我們將 TodayZoo 與我們之前分析過的其他網絡釣魚工具包進行了比較，發現即使這些工具包也包含對 Dancevida[.]com 等網站的引用，但它們的混淆或憑據收集組件會有不同的代碼塊。” 閱讀分析來自微軟。““DanceVida”更像是一個代碼塊，而不是一個成熟的網絡釣魚工具包。因此，使用 DanceVida 的工具包在交付、誘餌和位置方面相當多樣化，因為它們在工具包命名模式下的各種論壇上以及更廣泛的登錄頁面模板（包括文檔下載頁面）下直接出售。基于 DanceVida 的工具包收集頁面收集的大多數憑據都使用免費電子郵件服務泄露到帳戶中，例如 GMail、Yahoo! 和 Yandex。”

TodayZoo 網絡釣魚工具包的模仿和混淆相關組件與至少五個其他工具包的代碼重疊，例如 Botssoft、FLCFood、Office-RD117、WikiRed 和 Zenfo。

TodayZoo 表明，攻擊者可以從公開可用的框架中創建自己的網絡釣魚工具包變體，以滿足他們的需求。

“我們對 TodayZoo、DanceVida 和其他網絡釣魚工具的分析為我們提供了對當今地下經濟的一些見解。首先，這項研究進一步證明，當今觀察到或可用的大多數網絡釣魚工具包都是基于較小的大型工具包“家族”。雖然之前已經觀察到這種趨勢 ，但鑒于我們看到的網絡釣魚工具包如何在它們之間共享大量代碼，它仍然是常態。” 微軟總結道。