In acht nehmen! Die Patchwork-Phishing-Kampagne „ZooToday“ versucht, Passwörter zu sammeln

Sicherheitsforscher, die bei Microsoft arbeiten, haben eine Phishing- Kampagne detailliert beschrieben, die ein seltsames Toolset verwendet. Die Kampagne wurde ZooToday genannt und scheint Bits und Bobs zu verwenden, die aus dem beschädigten Code anderer Hackergruppen ausgewählt und wiederverwendet wurden.

Die Forscher von Microsoft bezeichnen die Kampagne auch mit dem liebenswerten Namen "Franken-Phish", da das Phishing-Kit der bösartigen Akteure hinter der Kampagne Patchwork-Charakter hat. Die ZooToday-Kampagne verwendet Codeteile aus verschiedenen Quellen, von irreführenden Kits, die im Dark Web verkauft werden, bis hin zu Phishing-Kits, die online verkauft werden.

Es wurde entdeckt, dass die Kampagne die Phishing-Mail über die Domain AwsApps(dot)com  verteilt. Die E-Mails enthalten Links, die auf eine beschädigte Webseite verweisen, die so aufgebaut ist, dass sie das Aussehen und das Design der legitimen Office 365-Anmeldeseite nachahmt.

Die Kampagne scheint relative Low-Budget zu sein und geringen Aufwand zu haben, da die Domains, von denen die Phishing-E-Mails stammen, zufällige Namen verwenden und nicht so zugeschnitten sind, dass sie wie die von echten Unternehmen verwendeten Domains und Namen aussehen. ZooToday verwendet in seinen Phishing-E-Mails auch die sogenannte "Zero-Point-Font-Verschleierung". Dies bedeutet, dass in der E-Mail eine Schriftart mit einer Schriftgröße von null Punkten enthalten ist, die mit HTML effektiv unsichtbar gemacht wird.

Die Kampagne läuft schon seit einiger Zeit. Microsoft hat im April und Mai dieses Jahres einen Anstieg der Aktivität verfolgt, wobei die alten Kampagnen gefälschte Microsoft-Seiten als Köder zum Sammeln von Passwörtern verwenden. Einige Monate später, im August 2021, erlebte die Kampagne einen weiteren Anstieg der Aktivität und nutzte dieses Mal das Xerox-Branding beim Phishing.

Eine weitere Besonderheit der ZooToday-Phishing-Kampagne ist, dass die gesammelten Anmeldeinformationen, die über die von den Hackern eingerichteten gefälschten Microsoft 365-Anmeldeseiten erfasst wurden, nicht sofort an andere E-Mails weitergeleitet werden. Stattdessen speichern die ZooToday-Betreiber die gesammelten Login-Informationen auf der Seite selbst. Die von der Gruppe hinter ZooToday verwendeten Websites wurden über einen Cloud-Speicheranbieter gehostet.