¡Tener Cuidado! La Campaña de Phishing Patchwork 'ZooToday' Busca Recopilar Contraseñas

Los investigadores de seguridad que trabajan en Microsoft detallaron una campaña de phishing que utiliza un extraño conjunto de herramientas. La campaña ha sido denominada ZooToday y parece utilizar bits y bobs recogidos y reutilizados del código corrupto de otros grupos de piratería.

Los investigadores de Microsoft también se refieren a la campaña con el nombre entrañable "Franken-Phish" debido a la naturaleza de mosaico del kit de phishing empleado por los malos actores detrás de la campaña. La campaña ZooToday utiliza fragmentos de código que se originan en varias fuentes, desde kits engañosos vendidos en la Dark Web hasta kits de phishing vendidos en línea.

La campaña se detectó utilizando el dominio AwsApps (punto) com para distribuir el correo de phishing. Los correos electrónicos contienen enlaces que apuntan a una página web dañada que está construida para imitar el aspecto y el diseño de la página de inicio de sesión legítima de Office 365.

La campaña parece tener un presupuesto bajorelativamente y de bajo esfuerzo, ya que los dominios de los que provienen los correos electrónicos de phishing utilizan nombres aleatorios y no se han adaptado para parecerse a los dominios y nombres utilizados por empresas reales. ZooToday también usa lo que se llama "ofuscación de fuente de punto cero" en sus correos electrónicos de phishing. Esto significa que hay una fuente en el correo electrónico a la que se le ha asignado un tamaño de fuente de cero puntos, lo que la hace invisible con HTML.

La campaña lleva un tiempo. Microsoft ha rastreado oleadas de actividad en abril y mayo de este año, con las viejas campañas utilizando páginas falsas de Microsoft como cebo para recopilar contraseñas. Unos meses más tarde, en agosto de 2021, la campaña experimentó otro repunte en la actividad y esta vez utilizó la marca Xerox en su phishing.

Otra peculiaridad que exhibe la campaña de phishing de ZooToday es que las credenciales recopiladas, capturadas a través de las páginas de inicio de sesión falsas de Microsoft 365 configuradas por los piratas informáticos, no se reenvían a otros correos electrónicos immedificadamente. En cambio, los operadores de ZooToday almacenan la información de inicio de sesión recopilada en el sitio mismo. Los sitios web utilizados por el grupo detrás de ZooToday se alojaron utilizando un proveedor de almacenamiento en la nube.