Il faut se méfier! La campagne de phishing Patchwork...

Il faut se méfier! La campagne de phishing Patchwork 'ZooToday' cherche à collecter des mots de passe

Des chercheurs en sécurité travaillant chez Microsoft ont détaillé une campagne de phishing qui utilise un ensemble d'outils étrange. La campagne a été surnommée ZooToday et semble utiliser des morceaux choisis et réutilisés à partir du code corrompu d'autres groupes de piratage.

Les chercheurs de Microsoft font également référence à la campagne par le nom attachant « Franken-Phish » en raison de la nature patchwork du kit de phishing utilisé par les mauvais acteurs derrière la campagne. La campagne ZooToday utilise des morceaux de code provenant de diverses sources, des kits trompeurs vendus sur le Dark Web aux kits de phishing vendus en ligne.

La campagne a été repérée en utilisant le domaine AwsApps(dot)com pour diffuser le courrier de phishing. Les e-mails contiennent des liens qui pointent vers une page Web corrompue conçue pour imiter l'apparence et la conception de la page de connexion Office 365 légitime.

La campagne semble être à petit budgetrelativement et sans effort, car les domaines d'où proviennent les e-mails de phishing utilisent des noms aléatoires et n'ont pas été adaptés pour ressembler aux domaines et noms utilisés par de vraies entreprises. ZooToday utilise également ce qu'on appelle "l'obscurcissement des polices à point zéro" dans ses e-mails de phishing. Cela signifie qu'il y a une police dans l'e-mail qui a reçu une taille de police de zéro point, ce qui la rend effectivement invisible à l'aide de HTML.

La campagne dure depuis un certain temps. Microsoft a retracé des poussées d'activité en avril et mai de cette année, avec les anciennes campagnes utilisant de fausses pages Microsoft comme appât pour collecter des mots de passe. Quelques mois plus tard, en août 2021, la campagne a connu une nouvelle augmentation de son activité et utilisait cette fois la marque Xerox dans son phishing.

Une autre particularité que présente la campagne de phishing ZooToday est que les informations d'identification collectées, capturées via les fausses pages de connexion Microsoft 365 configurées par les pirates, ne sont pas transmises à d'autres e-mails immimmédiatement. Au lieu de cela, les opérateurs ZooToday stockent les informations de connexion collectées sur le site lui-même. Les sites Web utilisés par le groupe derrière ZooToday ont été hébergés à l'aide d'un fournisseur de stockage en nuage.

Chargement...