微软警告称，在大规模的凭证窃取攻击中使用了TodayZoo网络钓鱼工具

微软周四披露了一系列“广泛的凭证网络钓鱼活动”，该活动利用了一个定制的网络钓鱼工具包，该工具包将至少五个不同的广泛传播的组件缝合在一起，目的是窃取用户登录信息。

这家科技巨头的微软365 Defender威胁情报团队于2020年12月首次在野外发现了该工具的实例，并将复制粘贴攻击基础设施称为“今日动物园”

研究人员说：“大量的网络钓鱼工具包和其他工具可供出售或出租，这使得独狼攻击者很容易从这些工具包中挑选最佳功能。”。“他们将这些功能放在一个定制的工具包中，并试图自己获得所有好处。今天的动物园就是这样。”

网络钓鱼工具包通常在地下论坛中作为一次性付款出售，是打包的存档文件，其中包含图像、脚本和HTML页面，使威胁参与者能够设置网络钓鱼电子邮件和页面，将其用作诱饵，以获取凭据并将其传输到攻击者控制的服务器。

TodayZoo的网络钓鱼活动也没有什么不同，因为发件人的电子邮件模仿微软，声称是密码重置或传真和扫描仪通知，将受害者重定向到凭证获取页面。它最突出的地方是网络钓鱼工具包本身，它是从其他工具包中提取的代码块拼凑而成的—；“有些可以通过可公开访问的诈骗卖家出售，或者被其他套件经销商重复使用和重新包装。”

具体来说，该框架的大部分似乎是从另一个名为DanceVida的工具包中慷慨提取出来的，而与模仿和混淆相关的组件与至少五个其他钓鱼工具包（如Botsoft、FLCFood、Office-RD117、WikiRed和Zenfo）的代码明显重叠。尽管依赖回收模块，但TodayZoo在凭证获取组件方面与DanceVida有所不同，它用自己的过滤逻辑替换了原有的功能。

如果说有什么区别的话，“弗兰肯斯坦的怪物特征的今天动物园”说明了威胁行为者利用网络钓鱼工具进行邪恶目的的各种方式，无论是从网络钓鱼即服务（PhaaS）提供商那里租用，还是通过从头开始构建自己的变体来满足他们的目标。

微软的分析写道：“这项研究进一步证明，目前观察到或可用的大多数网络钓鱼工具包都是基于一个较小的较大工具包‘家族’集群。”。“虽然之前已经观察到了这一趋势，但考虑到我们看到的网络钓鱼工具包彼此之间共享大量代码，这仍然是常态。”