TodayZoo 钓鱼工具包借用了其他工具包的代码

Microsoft 研究人员发现了一个名为 TodayZoo 的自定义网络钓鱼工具包，该工具包用于一系列广泛的凭据网络钓鱼活动。

“网络钓鱼工具包”是一组旨在促进网络钓鱼活动的软件或服务。在大多数情况下，网络钓鱼工具包是包含图像、脚本和 HTML 页面的存档文件，允许威胁参与者创建用于欺骗的网络钓鱼页面收件人提供他们的凭据。

TodayZoo 从微软过去调查过的其他钓鱼工具包中借用了大量代码，这些代码部分还包括注释标记、死链接和以前工具包的其他保留。

这家 IT 巨头于 2020 年 12 月首次发现该工具包，由于其相关活动的重定向模式、域和其他技术、策略和程序 (TTP) 的一致性，专家将该工具包归因于威胁行为者在旧的网络钓鱼工具包模板后面。微软专家推测这三个参与者已经实施了自己的凭据收集逻辑。

自 2021 年 3 月以来，Microsoft 观察到一系列滥用 AwsApps[.]com 域来发送网络钓鱼消息的网络钓鱼活动。这些电子邮件冒充 Microsoft，并利用 零点字体混淆技术 来逃避检测。 

几个月来，攻击者在邮件正文中使用了不同的诱饵，包括密码重置、伪造的传真和扫描仪通知。

对该工具包的分析显示，大部分代码借鉴了 DanceVida 网络钓鱼工具包。

“经过进一步调查，我们发现死链和标记是许多其他可免费或购买的商品化套件的遗留物。然后，我们将 TodayZoo 与我们之前分析过的其他网络钓鱼工具包进行了比较，发现即使这些工具包也包含对 Dancevida[.]com 等网站的引用，但它们的混淆或凭据收集组件会有不同的代码块。” 阅读分析来自微软。““DanceVida”更像是一个代码块，而不是一个成熟的网络钓鱼工具包。因此，使用 DanceVida 的工具包在交付、诱饵和位置方面相当多样化，因为它们在工具包命名模式下的各种论坛上以及更广泛的登录页面模板（包括文档下载页面）下直接出售。基于 DanceVida 的工具包收集页面收集的大多数凭据都使用免费电子邮件服务泄露到帐户中，例如 GMail、Yahoo! 和 Yandex。”

TodayZoo 网络钓鱼工具包的模仿和混淆相关组件与至少五个其他工具包的代码重叠，例如 Botssoft、FLCFood、Office-RD117、WikiRed 和 Zenfo。

TodayZoo 表明，攻击者可以从公开可用的框架中创建自己的网络钓鱼工具包变体，以满足他们的需求。

“我们对 TodayZoo、DanceVida 和其他网络钓鱼工具的分析为我们提供了对当今地下经济的一些见解。首先，这项研究进一步证明，当今观察到或可用的大多数网络钓鱼工具包都是基于较小的大型工具包“家族”。虽然之前已经观察到这种趋势 ，但鉴于我们看到的网络钓鱼工具包如何在它们之间共享大量代码，它仍然是常态。” 微软总结道。