هشدار مایکروسافت در مورد کیتِ فیشینگِ TodayZoo و مورداستفاده در حملات گسترده‌ی سرقت گواهی‌نامه

مایکروسافت روز پنجشنبه ۲۱ اکتبر ۲۰۲۱ یک «سری گسترده از کمپین‌های فیشینگ گواهی‌نامه» را فاش کرد که از یک کیت فیشینگ سفارشی (TodayZoo) بهره می‌برد که اجزای حداقل پنج مورد مختلف را با هدف جمع‌آوری اطلاعات ورود به سیستم کاربر به هم متصل می‌کند.

تیم اطلاعاتی Microsoft 365 Defender Threat، که اولین نمونه‌های این ابزار را در دسامبر ۲۰۲۰ در سطح اینترنت شناسایی کرد، زیرساخت این حمله‌ی copy-and-paste را “TodayZoo” نامید[۱].

محققان می‌گویند: “فراوانی کیت‌های فیشینگ و سایر ابزارهای موجود برای فروش یا اجاره، انتخاب بهترین ویژگی‌ها را برای مهاجمان lone wolf آسان می‌کند. آن‌ها این ویژگی‌ها را در یک کیت سفارشی کنار هم قرار می‌دهند و سعی می‌کنند از مزایای آن برای خودشان استفاده کنند. که این مورد برای TodayZoo نیز صادق است.”

کیت‌های فیشینگ که اغلب به‌صورت پرداخت یک‌باره در انجمن‌های زیرزمینی فروخته می‌شوند، فایل‌های آرشیو بسته‌بندی شده‌ای هستند که حاوی تصاویر، اسکریپت‌ها و صفحات HTML هستند که مهاجم را قادر می‌سازد تا ایمیل‌ها و صفحات فیشینگ را تنظیم کند و از آن‌ها به‌عنوان فریب برای جمع‌آوری و انتقال اعتبار به سرور کنترل‌شده‌ توسط مهاجم استفاده کند.

کمپین فیشینگ TodayZoo ازاین‌جهت که ایمیل‌های فرستنده خود را جای مایکروسافت جا می‌زنند، با ادعای بازنشانی رمز عبور یا اعلان‌های فکس و اسکنر، برای هدایت قربانیان به صفحات جمع‌آوری اعتبار، با دیگر کمپین‌ها تفاوتی ندارد. این کمپین در جایی خودنمایی می‌کند که به‌صورت یک کیت فیشینگ است که به‌صورت تکه‌تکه شده و از کیت‌های دیگر گرفته شده است و برخی از آن‌ها از طریق فروشندگان کلاه‌برداری قابل‌فروش است یا مجدداً توسط سایر فروشندگان کیت مورداستفاده و بسته‌بندی مجدد قرار می‌گیرد.”

به‌طور خاص، به نظر می‌رسد بخش‌های بزرگی از این چارچوب به‌طور سخاوتمندانه از کیت دیگری به نام DanceVida برداشته شده است، درحالی‌که اجزای تقلید و مبهم‌سازی به‌طور قابل‌توجهی با کد حداقل پنج کیت فیشینگ دیگر مانند Botssoft، FLCFood، Office-RD117، WikiRed و Zenfo همپوشانی دارند. علیرغم تکیه بر ماژول‌های بازیافتی، TodayZoo با جایگزین کردن عملکرد اصلی با منطق exfiltration خود، با DanceVida در مؤلفه‌ی harvest کردن گواهی‌نامه تفاوت دارد.

درهرصورت، «ویژگی هیولای فرانکنشتاین در TodayZoo» روش‌های متنوعی را نشان می‌دهد که بازیگران تهدید از کیت‌های فیشینگ برای مقاصد شرورانه و برآورده شدن اهدافشان استفاده می‌کنند، چه با اجاره‌ی آن‌ها از ارائه‌دهندگان فیشینگ به‌عنوان سرویس (PhaaS) و چه با ساخت انواع مختلف از کیت‌های فیشینگ[۲].

در تحلیل مایکروسافت آمده است: «این تحقیق بیشتر ثابت می‌کند که اکثر کیت‌های فیشینگ که امروزه مشاهده‌شده یا در دسترس هستند، مبتنی بر دسته‌ای کوچک‌تر از «خانواده‌» کیت‌های بزرگ‌تر هستند. درحالی‌که این روند قبلاً مشاهده شده است، با توجه به اینکه چگونه کیت‌های فیشینگ مشغول اشتراک گذاشتن مقادیر زیادی کد بین خود هستند، همچنان به روند خود ادامه می‌دهند.”

منابع

[۱] https://www.microsoft.com/security/blog/2021/10/21/franken-phish-todayzoo-built-from-other-phishing-kits

[۲] https://thehackernews.com/2021/09/microsoft-warns-of-wide-scale-phishing.html

[۳] https://thehackernews.com/2021/10/microsoft-warns-of-todayzoo-phishing.html