近日，微軟在分析最近一次網(wǎng)絡(luò)釣魚攻擊事件中發(fā)現(xiàn)，犯罪分子使用了名為TodayZoo的新型工具包，該工具包沒有任何自己開發(fā)的功能，而是剪裁和整合其他惡意軟件拼湊而成。TodayZoo工具包大量使用了另一個工具包DanceVida的代碼，而其他組件與至少五個網(wǎng)絡(luò)釣魚工具包的代碼顯著匹配。

　　據(jù)了解，微軟于2020年12月首次發(fā)現(xiàn)該網(wǎng)絡(luò)釣魚工具包，但在其2021年3月和2021年6月一系列重大活動中，該工具包試圖竊取微軟用戶憑據(jù)，導(dǎo)致微軟威脅情報團隊對該工具包進行了分析。在分析中，微軟發(fā)現(xiàn)TodayZoo和DanceVida兩個套件的代碼有大約30%-35%的重疊，不過，這兩個代碼庫在處理憑據(jù)收集方面存在差異。

　　微軟Defender安全研究合作伙伴總監(jiān)Tanmay Ganacharya表示，由于使用了其他網(wǎng)絡(luò)釣魚工具包的部件，因此將該網(wǎng)絡(luò)犯罪工具稱為“弗蘭肯網(wǎng)絡(luò)釣魚”，該工具包似乎將其他網(wǎng)絡(luò)釣魚工具的不同組件結(jié)合在一起，而不是使用網(wǎng)絡(luò)釣魚即服務(wù)產(chǎn)品。

　　TodayZoo工具包

　　與其他常見網(wǎng)絡(luò)釣魚工具包一樣，TodayZoo也使用相同的四步攻擊：第一步是將電子郵件發(fā)送給目標(biāo)用戶；第二步將目標(biāo)用戶重定向到初始頁面；第三步是受害者的瀏覽器被重定向到第二個頁面；最后是將受害者引導(dǎo)至大多數(shù)情況下由Digital Ocean托管的最終登錄頁面。

　　“由于其相關(guān)活動的重定向模式、域名和其他技術(shù)、策略和程序（TTP）的一致性，我們認為攻擊者‘定制’了舊的網(wǎng)絡(luò)釣魚工具包模板，修改了憑據(jù)收集功能，加入了自己的滲漏邏輯，使TodayZoo僅用于其邪惡目的。”微軟進一步分析指出，“網(wǎng)絡(luò)釣魚工具包，類似于惡意軟件，將會變得越來越模塊化?！?/p>

　　除模塊化外，網(wǎng)絡(luò)釣魚的主戰(zhàn)場也在從電子郵件向移動設(shè)備轉(zhuǎn)移。根據(jù)蘋果電腦和設(shè)備企業(yè)管理工具供應(yīng)商Jamf發(fā)布的一份報告，大多數(shù)成功的攻擊都是針對移動用戶，很少來自電子郵件客戶端。而微軟在其《2021年網(wǎng)絡(luò)釣魚趨勢報告》中表示，過去一年中，約有10%的移動設(shè)備用戶點擊了網(wǎng)絡(luò)釣魚鏈接，比過去12個月增長了160%。

　　“研究表明，大多數(shù)網(wǎng)絡(luò)釣魚工具包都是基于少數(shù)幾個大型工具包‘家族’，”微軟指出，“通過我們的觀察發(fā)現(xiàn)，網(wǎng)絡(luò)釣魚工具包共享大量代碼，已經(jīng)成為常態(tài)?！?/p>