مایکروسافت روز پنجشنبه "مجموعه گسترده‌ای از کمپین‌های فیشینگ اعتبارنامه" را فاش کرد که از یک کیت فیشینگ سفارشی استفاده می‌کند. این کیت اجزای حداقل پنج مورد مختلف را با هدف جاسوسی اطلاعات ورود کاربران، با یکدیگر مرتبط و تلفیق کرده است.

تیم اطلاعاتی Microsoft 365 Defender Threat Intelligence Team این غول فناوری که این کمپین را در دسامبر سال ۲۰۲۰ شناسایی کرد، زیرساخت حمله copy-and-paste را "TodayZoo" نامگذاری نمود.

به نقل از هکر نیوز، محققان می‌گویند: ″فراوانی کیت‌های فیشینگ و سایر ابزار‌های موجود برای فروش یا اجاره، پیدا کردن و انتخاب بهترین ویژگی‌ها را برای مهاجمانی که به شکل مستقل حمله می‌نمایند، آسان می‌کند. آن‌ها این قابلیت‌ها را در یک کیت سفارشی کنار هم قرار می‌دهند و سعی می‌کنند از همه مزایای آن‌ها بهره‌مند شوند. چنین موردی در TodayZoo مشاهده شده است".

کیت های فیشینگ که اغلب تحت عنوان مواردی با یکبار پرداخت در انجمنهای زیرزمینی فروخته می‌شوند شامل فایل‌های آرشیوی پکیج شده‌ای هستند که حاوی تصاویر، اسکریپت‌ها و صفحات HTML می‌باشند و به عامل مهاجم تهدید‌کننده امکان می‌دهند تا‌ایمیل‌ها و صفحات فیشینگ را تنظیم کرده و از آن‌ها به عنوان عامل فریب برای جمع‌آوری و انتقال اعتبارنامه‌های کاربری به سرور تحت کنترل مهاجم، استفاده کند.

کمپین فیشینگ TodayZoo از این جهت که‌ایمیل‌های فرستنده در پی جعل هویت مایکرؤسافت هستند و با ادعای بازنشانی رمز عبور یا اعلان‌های فکس و اسکنر، برای هدایت قربانیان به صفحات جمع‌آوری اعتبارنامه استفاده می‌نمایند، تفاوتی ندارند. جایی که این مسأله خودنمایی می‌کند، خود کیت فیشینگ است که از قسمت‌هایی از کد برگرفته از سایر کیت‌ها گردآوری شده است؛ "برخی از آن‌ها از طریق فروشندگان اسکمر در دسترس عموم و قابل فروش است یا مجدداً توسط سایر فروشندگان کیت مورد استفاده و ری‌پک قرار می‌گیرد".

به ویژه، به نظر می‌رسد بخش‌های بزرگی از این فریمورک به‌طور گسترده‌ای از کیت دیگری به نام DanceVida برداشته شده است؛ از سویی نیز مؤلفه‌های مربوط به تقلید و مبهم‌سازی به طور قابل‌توجهی با کد حداقل پنج کیت فیشینگ دیگر مانند Botssoft، FLCFood، Office-RD117، WikiRed و Zenfo همپوشانی دارد. علی رغم اتکا به ماژول‌های بازیابی شده، TodayZoo از نظر کامپوننت هاروِست اعتبارنامه‌ها، با جایگزینی عملکرد اصلی با لاجیک اکس‌فیلتریشن خاص خود، خود را از DanceVida متمایز می‌نماید.

در هر صورت، اصطلاحاً «کاراکتر و ماهیت هیولای فرانکنشتاین در TodayZoo» روش‌های متنوعی را نشان می‌دهد که عاملان تهدید از کیت‌های فیشینگ برای مقاصد شرورانه استفاده می‌کنند، چه با اجاره کردن آن‌ها از ارائه‌دهندگان خدمات فیشینگ یا Phishing-as-a-service (PhaaS) و چه با ساخت از صفر انواع مختلف از کیت‌های فیشینگ که با اهداف آن‌ها سازگار است.

در تحلیل مایکروسافت آمده است: «این تحقیق بیشتر ثابت می‌کند که اکثر کیت‌های فیشینگ که امروزه مشاهده می‌شوند و یا در دسترس هستند، مبتنی بر دسته‌ای کوچک‌تر از گروه اصلی کیت‌های بزرگ‌تر هستند. در حالی که این روند قبلاً مشاهده شده است، با توجه به اینکه چگونه کیت‌های فیشینگ ما هنوز شاهد به اشتراک‌گذاری حجم و مقادیر زیادی از کد‌ها بین کیت‌های فیشینگ هستیم که تبدیل به یک روند عادی شده است″.