El equipo de inteligencia de Microsoft, ha detectado las primeras instancias de un nuevo Kits de Phishing Profesional en diciembre de 2020, denominándolo como “TodayZoo“.
Microsoft ha revelado una “extensa serie de campañas de phishing de credenciales” que aprovecha un kit de phishing personalizado que une componentes de al menos otras cinco herramientas de phishing diferentes de amplia circulación con el objetivo de robar la información de inicio de sesión del usuario.
“La abundancia de kits de phishing profesional y otras herramientas disponibles para la venta o el alquiler hace que sea fácil para un hacker solitario elegir las mejores características de estos kits”, dijeron los investigadores. “Ellos juntan estas funcionalidades en un kit personalizado y tratan de cosechar todos los beneficios para ellos mismos. Tal es el caso de TodayZoo”.
Los kits de phishing, que a menudo se venden como pagos únicos en foros clandestinos, son archivos empaquetados que contienen imágenes, scripts y páginas HTML que permiten a un atacante configurar correos electrónicos y páginas de phishing, usándolos como señuelos para recolectar y transmitir credenciales y otros datos a un servidor controlado por el atacante.
Microsoft ha revelado una “extensa serie de campañas de phishing de credenciales” que aprovecha un kit de phishing personalizado que une componentes de al menos otras cinco herramientas de phishing diferentes de amplia circulación con el objetivo de robar la información de inicio de sesión del usuario.
“La abundancia de kits de phishing profesional y otras herramientas disponibles para la venta o el alquiler hace que sea fácil para un hacker solitario elegir las mejores características de estos kits”, dijeron los investigadores. “Ellos juntan estas funcionalidades en un kit personalizado y tratan de cosechar todos los beneficios para ellos mismos. Tal es el caso de TodayZoo”.
Los kits de phishing, que a menudo se venden como pagos únicos en foros clandestinos, son archivos empaquetados que contienen imágenes, scripts y páginas HTML que permiten a un atacante configurar correos electrónicos y páginas de phishing, usándolos como señuelos para recolectar y transmitir credenciales y otros datos a un servidor controlado por el atacante.
La campaña de phishing TodayZoo no es diferente en el sentido de que los correos electrónicos del remitente se hacen pasar por Microsofta, afirmando ser un restablecimiento de contraseña o notificaciones de fax y escáner, para redirigir a las víctimas a las páginas de recolección de credenciales.
Donde se destaca es en el propio Kit de Phishing, que se improvisa a partir de fragmentos de código extraídos de otros kits: “algunos están disponibles para la venta a través de vendedores de estafas de acceso público o son reutilizados y reempaquetados por otros revendedores de kits”.
Donde se destaca es en el propio Kit de Phishing, que se improvisa a partir de fragmentos de código extraídos de otros kits: “algunos están disponibles para la venta a través de vendedores de estafas de acceso público o son reutilizados y reempaquetados por otros revendedores de kits”.
DanceVida
Específicamente, gran parte del código parece haberse extraído de otro Kit, conocido como DanceVida, mientras que los componentes relacionados con la imitación y la ofuscación se superponen significativamente con el código de al menos otros cinco kits de phishing como Botssoft, FLCFood, Office-RD117, WikiRed y Zenfo.
A pesar de depender de módulos reciclados, TodayZoo se diferencia de DanceVida en el componente de recolección de credenciales al reemplazar la funcionalidad original con su propia lógica de exfiltración.
A pesar de depender de módulos reciclados, TodayZoo se diferencia de DanceVida en el componente de recolección de credenciales al reemplazar la funcionalidad original con su propia lógica de exfiltración.

En todo caso, esta característica de juntar varias partes de varios Kits de Phishing al más estilo Frankenstein, ilustra las diversas y originales formas en que los atacantes aprovechan los Kits de Phishing para adaptarse a los tiempos, ya sea alquilándolos a proveedores de phishing como servicio (PhaaS) o construyendo sus propias variantes desde cero para adaptarse a sus objetivos.
“Esta investigación demuestra además, que la mayoría de los Kits de Phishing observados o disponibles en la actualidad se basan en un grupo más pequeño de ‘familias’ de kits más grandes. Si bien esta tendencia se ha observado anteriormente, sigue siendo la norma, dado que los Kits de Phishing que hemos visto comparten grandes cantidades de código entre ellos”.
“Esta investigación demuestra además, que la mayoría de los Kits de Phishing observados o disponibles en la actualidad se basan en un grupo más pequeño de ‘familias’ de kits más grandes. Si bien esta tendencia se ha observado anteriormente, sigue siendo la norma, dado que los Kits de Phishing que hemos visto comparten grandes cantidades de código entre ellos”.