Microsoft vừa tiết lộ một loạt chiến dịch lừa đảo lợi dụng bộ kit phishing được tùy chỉnh để kết hợp với ít nhất 5 bộ công cụ khác nhau nhằm đánh cắp thông tin đăng nhập của người dùng.
Đội ngũ Microsoft 365 Defender Threat Intelligence đã phát hiện ra những trường hợp đầu tiên sử dụng công cụ TodayZoo trên thực tế vào tháng 12 năm 2020.
ác bộ kit dùng để tấn công phishing và các công cụ khác được bán hoặc cho thuê nhan nhản trên các chợ đen để tin tặc tha hồ lựa chọn “món đồ” phù hợp. Chúng kết hợp các chức năng cùng với nhau trong một bộ kit đã được tùy chỉnh và hưởng lợi. TodayZoo là một trường hợp như vậy.
Bộ kit Phishing thường được bán dưới dạng thanh toán một lần, đóng gói theo file lưu trữ, chứa các hình ảnh, đoạn script và các trang HTML, cho phép kẻ xấu thiết lập các email và trang lừa đảo làm “mồi nhử” để thu thập và gửi thông tin đăng nhập đến một máy chủ do hacker kiểm soát.
Chiến dịch phishing TodayZoo không có sự khác biệt khi email của người gửi mạo danh Microsoft, yêu cầu đặt lại mật khẩu hoặc các thông báo qua máy fax và máy scan, để chuyển hướng nạn nhân đến các trang thu thập thông tin đăng nhập.
Tuy nhiên, điểm khác biệt ở đây là bộ kit này lại kết hợp các đoạn mã lấy từ các bộ kit khác – “một số sẵn có trên ‘kệ’ có thể truy cập công khai hoặc được tái sử dụng hay đóng gói lại bởi những người bán lẻ khác”.
5 bộ công cụ phishing thường được kết hợp gồm có Botssoft, FLCFood, Office-RD117, WikiRed và Zenfo. Mặc dù dựa trên các mô-đun cũ, TodayZoo tạo ra điểm khác biệt trong thành phần thu thập thông tin bằng cách thay thế chức năng ban đầu bằng kiểu exfiltration logic riêng.
TodayZoo tái hiện cách hacker sử dụng các bộ dụng cụ lừa đảo cho mục đích bất chính, cho dù đó là thuê dịch vụ phishing (PhaaS) hoặc bằng cách xây dựng các biến thể riêng phù hợp với mục tiêu của chúng.
Theo Thehackernews