Trang đăng nhập giả mạo của TodayZoo vào tháng 8/2021

Trên thực tế, những trường hợp đầu tiên sử dụng bộ công cụ TodayZoo đã được các chuyên gia bảo mật tại Microsoft 365 Defender Threat Intelligence phát hiện vào tháng 12/2020. Sau đó, kể từ tháng 3/2021, Microsoft đã quan sát thấy một loạt các chiến dịch lừa đảo, lợi dụng tên miền AwsApps[.]Com để gửi các email mạo danh hướng đến người dùng với kỹ thuật làm rối zero-point font để tránh bị phát hiện.

Các nhà nghiên cứu cho biết: “Với sự phong phú của các bộ công cụ phishing dùng để tấn công lừa đảo và các công cụ khác được rao bán hoặc cho thuê trên khắp các diễn đàn “chợ đen”, điều này giúp cho tin tặc dễ dàng lựa chọn những tính năng tốt nhất để tiến hành khai thác. Chúng kết hợp những chức năng này với nhau trong một bộ công cụ tùy chỉnh để có thể đạt được những mục tiêu riêng của mình. TodayZoo là một trường hợp điển hình như vậy”.

Những bộ công cụ phishing thường được bán dưới dạng thanh toán một lần, dưới dạng các tệp lưu trữ được đóng gói (chứa các hình ảnh, đoạn script và các trang HTML), cho phép tin tặc có thể thiết lập email và trang lừa đảo làm “mồi nhử”, để thu thập và gửi thông tin đăng nhập đến một máy chủ do tin tặc kiểm soát.

Mã nguồn HTML TodayZoo mô tả quá trình lọc thông tin xác thực

Chiến dịch TodayZoo tương tự như các cuộc tấn công lừa đảo khác, không có sự khác biệt lớn khi sử dụng kỹ nghệ xã hội, gửi những email mạo danh Microsoft đến các nạn nhân và yêu cầu đặt lại mật khẩu hoặc thông báo qua máy fax và máy scan, để chuyển hướng những nạn nhân này đến các trang web thu thập thông tin đăng nhập.

Ví dụ về thông báo của bộ công cụ TodayZoo

Điểm nổi bật chính là TodayZoo kết hợp các đoạn mã được chia sẻ từ các bộ công cụ khác thường được sử dụng lại với nhau, trong đó một số công cụ có sẵn có thể truy cập công khai hoặc được tái sử dụng và đóng gói lại bởi những người bán lẻ khác.

Mã nguồn của TodayZoo tham chiếu đến DanceVida[.]com

Cụ thể, TodayZoo bị ảnh hưởng nhiều bởi “DanceVida” - một bộ công cụ phishing nổi tiếng đã từng được rất nhiều tin tặc sử dụng trong các cuộc tấn công lừa đảo. Bên cạnh đó, TodayZoo cũng kết hợp một số thành phần liên quan đến làm rối (obfuscation) hay đánh cắp thông tin xác thực (credential harvesting) trong những bộ công cụ khác bao gồm: Botssoft, FLCFood, Office-RD117, WikiRed và Zenfo.

Theo Microsoft, mặc dù dựa trên các mô-đun cũ, TodayZoo lại có sự khác biệt trong thành phần thu thập thông tin xác thực bằng cách thay thế chức năng ban đầu bằng kiểu lọc thông tin riêng của nó. Ví dụ như trong các hình dưới đây là hai đoạn mã so sánh của TodayZoo với DanceVida được lựa chọn ngẫu nhiên, cả hai ban đầu đều có cấu trúc và các đoạn mã tương tự nhau, cho đến khi TodayZoo có phần khác biệt trong thành phần thu thập thông tin xác thực.

TodayZoo thay đổi một số biến phù hợp sau khi được tham chiếu từ DanceVida

So sánh bộ công cụ DanceVida và TodayZoo cho thấy cách triển khai khác nhau trong phần thông tin xác thực

“Nghiên cứu này chứng minh thêm rằng hầu hết các bộ công cụ phishing có sẵn ngày nay đều dựa trên một nhóm nhỏ trong các bộ công cụ lớn hơn. Mặc dù đã được phát hiện trước đây, nhưng nó vẫn tiếp tục là xu hướng, dựa trên cách mà các bộ công cụ phishing chia sẻ một lượng lớn các đoạn mã giữa chúng”, theo phân tích của Microsoft.

TodayZoo cho thấy sự đa dạng về các kỹ thuật lừa đảo khác nhau được tin tặc sử dụng cho mục đích bất chính như thế nào, cho dù đó là thuê từ nhà cung cấp dịch vụ phishing (PhaaS) hoặc bằng cách xây dựng các biến thể riêng phù hợp với mục tiêu của chúng.