微软 365 Defender团队在上周披露了大规模的窃取证书式网络钓鱼活动，并呼吁警惕将不同工具代码拼接成定制套件来窃取用户登录信息的钓鱼工具——“TodayZoo”。

去年年底，微软团队就检测到“TodayZoo”的钓鱼活动，攻击者冒充微软发送电子邮件，声称密码重置或传真和扫描器通知，将受害者重新定向到证书窃取页面实施犯罪。

具体而言，TodayZoo 的攻击方式与另一个名为DanceVida的工具类似，都是通过模仿和混淆与Botssoft、FLCFood、Office-RD117、WikiRed和Zenfo等产生代码重叠的相关组件，只不过TodayZoo 是用自己的过滤逻辑替换了证书收集组件的原有功能。

微软研究人员介绍称：TodayZoo之所以被广泛运用，是因为大量可供出售或出租的网络钓鱼工具，使得独狼式攻击者很容易从中挑选最佳功能，并将这些功能整合到一个定制的套件中试图为自己牟利。

这些套件可以通过公开的诈骗卖家出售，也可能被转售商重新使用和包装。而在暗网，包含图像、脚本和HTML页面的档案文件通常以一次性付款的方式被打包出售，以便攻击者能够设置钓鱼电子邮件和页面，利用它们作为诱饵，收集并传输凭证到攻击者控制的服务器。

据微软观察：目前大多数可用的钓鱼工具都来源于已有的工具集群，由于网络钓鱼工具之间大量的代码共享，这一趋势仍将成为一种常态。

参考来源：https://thehackernews.com/2021/10/microsoft-warns-of-todayzoo-phishing.html