[[431391]]

近日，微軟在分析最近一次網(wǎng)絡(luò)釣魚攻擊事件中發(fā)現(xiàn)，犯罪分子使用了名為TodayZoo的新型工具包，該工具包沒有任何自己開發(fā)的功能，而是剪裁和整合其他惡意軟件拼湊而成。TodayZoo工具包大量使用了另一個(gè)工具包DanceVida的代碼，而其他組件與至少五個(gè)網(wǎng)絡(luò)釣魚工具包的代碼顯著匹配。

據(jù)了解，微軟于2020年12月首次發(fā)現(xiàn)該網(wǎng)絡(luò)釣魚工具包，但在其2021年3月和2021年6月一系列重大活動(dòng)中，該工具包試圖竊取微軟用戶憑據(jù)，導(dǎo)致微軟威脅情報(bào)團(tuán)隊(duì)對(duì)該工具包進(jìn)行了分析。在分析中，微軟發(fā)現(xiàn)TodayZoo和DanceVida兩個(gè)套件的代碼有大約30%-35%的重疊，不過，這兩個(gè)代碼庫在處理憑據(jù)收集方面存在差異。

微軟Defender安全研究合作伙伴總監(jiān)Tanmay Ganacharya表示，由于使用了其他網(wǎng)絡(luò)釣魚工具包的部件，因此將該網(wǎng)絡(luò)犯罪工具稱為“弗蘭肯網(wǎng)絡(luò)釣魚”，該工具包似乎將其他網(wǎng)絡(luò)釣魚工具的不同組件結(jié)合在一起，而不是使用網(wǎng)絡(luò)釣魚即服務(wù)產(chǎn)品。

TodayZoo工具包

與其他常見網(wǎng)絡(luò)釣魚工具包一樣，TodayZoo也使用相同的四步攻擊：第一步是將電子郵件發(fā)送給目標(biāo)用戶;第二步將目標(biāo)用戶重定向到初始頁面;第三步是受害者的瀏覽器被重定向到第二個(gè)頁面;最后是將受害者引導(dǎo)至大多數(shù)情況下由Digital Ocean托管的最終登錄頁面。

“由于其相關(guān)活動(dòng)的重定向模式、域名和其他技術(shù)、策略和程序(TTP)的一致性，我們認(rèn)為攻擊者‘定制’了舊的網(wǎng)絡(luò)釣魚工具包模板，修改了憑據(jù)收集功能，加入了自己的滲漏邏輯，使TodayZoo僅用于其邪惡目的。”微軟進(jìn)一步分析指出，“網(wǎng)絡(luò)釣魚工具包，類似于惡意軟件，將會(huì)變得越來越模塊化。”

除模塊化外，網(wǎng)絡(luò)釣魚的主戰(zhàn)場(chǎng)也在從電子郵件向移動(dòng)設(shè)備轉(zhuǎn)移。根據(jù)蘋果電腦和設(shè)備企業(yè)管理工具供應(yīng)商Jamf發(fā)布的一份報(bào)告，大多數(shù)成功的攻擊都是針對(duì)移動(dòng)用戶，很少來自電子郵件客戶端。而微軟在其《2021年網(wǎng)絡(luò)釣魚趨勢(shì)報(bào)告》中表示，過去一年中，約有10%的移動(dòng)設(shè)備用戶點(diǎn)擊了網(wǎng)絡(luò)釣魚鏈接，比過去12個(gè)月增長(zhǎng)了160%。

“研究表明，大多數(shù)網(wǎng)絡(luò)釣魚工具包都是基于少數(shù)幾個(gè)大型工具包‘家族’，”微軟指出，“通過我們的觀察發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚工具包共享大量代碼，已經(jīng)成為常態(tài)。”

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文