微軟 365 Defender團(tuán)隊(duì)在上周披露了大規(guī)模的竊取證書式網(wǎng)絡(luò)釣魚活動(dòng)，并呼吁警惕將不同工具代碼拼接成定制套件來(lái)竊取用戶登錄信息的釣魚工具——“TodayZoo”。

　　去年年底，微軟團(tuán)隊(duì)就檢測(cè)到“TodayZoo”的釣魚活動(dòng)，攻擊者冒充微軟發(fā)送電子郵件，聲稱密碼重置或傳真和掃描器通知，將受害者重新定向到證書竊取頁(yè)面實(shí)施犯罪。

　　具體而言，TodayZoo 的攻擊方式與另一個(gè)名為DanceVida的工具類似，都是通過(guò)模仿和混淆與Botssoft、FLCFood、Office-RD117、WikiRed和Zenfo等產(chǎn)生代碼重疊的相關(guān)組件，只不過(guò)TodayZoo 是用自己的過(guò)濾邏輯替換了證書收集組件的原有功能。

　　微軟研究人員介紹稱：TodayZoo之所以被廣泛運(yùn)用，是因?yàn)榇罅靠晒┏鍪刍虺鲎獾木W(wǎng)絡(luò)釣魚工具，使得獨(dú)狼式攻擊者很容易從中挑選最佳功能，并將這些功能整合到一個(gè)定制的套件中試圖為自己牟利。

　　這些套件可以通過(guò)公開(kāi)的詐騙賣家出售，也可能被轉(zhuǎn)售商重新使用和包裝。而在暗網(wǎng)，包含圖像、腳本和HTML頁(yè)面的檔案文件通常以一次性付款的方式被打包出售，以便攻擊者能夠設(shè)置釣魚電子郵件和頁(yè)面，利用它們作為誘餌，收集并傳輸憑證到攻擊者控制的服務(wù)器。

　　據(jù)微軟觀察：目前大多數(shù)可用的釣魚工具都來(lái)源于已有的工具集群，由于網(wǎng)絡(luò)釣魚工具之間大量的代碼共享，這一趨勢(shì)仍將成為一種常態(tài)。