هشدار استفاده از کیت فیشینگ TodayZoo در حملات سرقت اعتبارنامه ها توسط مایکروسافت
اخبار داغ فناوری اطلاعات و امنیت شبکهمایکروسافت روز پنجشنبه "مجموعه گستردهای از کمپینهای فیشینگ اعتبارنامه" را فاش کرد که از یک کیت فیشینگ سفارشی استفاده میکند. این کیت اجزای حداقل پنج مورد مختلف را با هدف جاسوسی اطلاعات ورود کاربران، با یکدیگر مرتبط و تلفیق کرده است.
تیم اطلاعاتی Microsoft 365 Defender Threat Intelligence Team این غول فناوری که این کمپین را در دسامبر سال ۲۰۲۰ شناسایی کرد، زیرساخت حمله copy-and-paste را "TodayZoo" نامگذاری نمود.
به نقل از هکر نیوز، محققان میگویند: ″فراوانی کیتهای فیشینگ و سایر ابزارهای موجود برای فروش یا اجاره، پیدا کردن و انتخاب بهترین ویژگیها را برای مهاجمانی که به شکل مستقل حمله مینمایند، آسان میکند. آنها این قابلیتها را در یک کیت سفارشی کنار هم قرار میدهند و سعی میکنند از همه مزایای آنها بهرهمند شوند. چنین موردی در TodayZoo مشاهده شده است".
کیت های فیشینگ که اغلب تحت عنوان مواردی با یکبار پرداخت در انجمنهای زیرزمینی فروخته میشوند شامل فایلهای آرشیوی پکیج شدهای هستند که حاوی تصاویر، اسکریپتها و صفحات HTML میباشند و به عامل مهاجم تهدیدکننده امکان میدهند تاایمیلها و صفحات فیشینگ را تنظیم کرده و از آنها به عنوان عامل فریب برای جمعآوری و انتقال اعتبارنامههای کاربری به سرور تحت کنترل مهاجم، استفاده کند.
کمپین فیشینگ TodayZoo از این جهت کهایمیلهای فرستنده در پی جعل هویت مایکرؤسافت هستند و با ادعای بازنشانی رمز عبور یا اعلانهای فکس و اسکنر، برای هدایت قربانیان به صفحات جمعآوری اعتبارنامه استفاده مینمایند، تفاوتی ندارند. جایی که این مسأله خودنمایی میکند، خود کیت فیشینگ است که از قسمتهایی از کد برگرفته از سایر کیتها گردآوری شده است؛ "برخی از آنها از طریق فروشندگان اسکمر در دسترس عموم و قابل فروش است یا مجدداً توسط سایر فروشندگان کیت مورد استفاده و ریپک قرار میگیرد".
به ویژه، به نظر میرسد بخشهای بزرگی از این فریمورک بهطور گستردهای از کیت دیگری به نام DanceVida برداشته شده است؛ از سویی نیز مؤلفههای مربوط به تقلید و مبهمسازی به طور قابلتوجهی با کد حداقل پنج کیت فیشینگ دیگر مانند Botssoft، FLCFood، Office-RD117، WikiRed و Zenfo همپوشانی دارد. علی رغم اتکا به ماژولهای بازیابی شده، TodayZoo از نظر کامپوننت هاروِست اعتبارنامهها، با جایگزینی عملکرد اصلی با لاجیک اکسفیلتریشن خاص خود، خود را از DanceVida متمایز مینماید.
در هر صورت، اصطلاحاً «کاراکتر و ماهیت هیولای فرانکنشتاین در TodayZoo» روشهای متنوعی را نشان میدهد که عاملان تهدید از کیتهای فیشینگ برای مقاصد شرورانه استفاده میکنند، چه با اجاره کردن آنها از ارائهدهندگان خدمات فیشینگ یا Phishing-as-a-service (PhaaS) و چه با ساخت از صفر انواع مختلف از کیتهای فیشینگ که با اهداف آنها سازگار است.
در تحلیل مایکروسافت آمده است: «این تحقیق بیشتر ثابت میکند که اکثر کیتهای فیشینگ که امروزه مشاهده میشوند و یا در دسترس هستند، مبتنی بر دستهای کوچکتر از گروه اصلی کیتهای بزرگتر هستند. در حالی که این روند قبلاً مشاهده شده است، با توجه به اینکه چگونه کیتهای فیشینگ ما هنوز شاهد به اشتراکگذاری حجم و مقادیر زیادی از کدها بین کیتهای فیشینگ هستیم که تبدیل به یک روند عادی شده است″.
برچسب ها: اسکم, scam, Credential, Zenfo, Botssoft, FLCFood, WikiRed, DanceVida, کمپین فیشینگ, کیت فیشینگ, TodayZoo, Microsoft 365 Defender Threat Intelligence Team, اسکریپت, Phishing-as-a-service, PhaaS, phishing kit, اعتبارنامه, HTML, cybersecurity, Microsoft, phishing, malware, مایکروسافت, فیشینگ, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری