网络钓鱼工具包TodayZoo被用于大规模用户凭据窃取钓鱼

微软披露了一系列大范围的用户凭据网络钓鱼活动，这些活动利用自定义网络钓鱼工具包将至少五个不同的广泛传播的组件拼接在一起，目的是窃取用户登录凭据信息。

微软威胁情报团队于 2020 年 12 月在野检测到该网络钓鱼工具的第一个实例，大量可供出售或出租的网络钓鱼工具包和其他工具使个人攻击者可以轻松地从这些工具包中挑选所需的功能。他们将这些功能放在一个定制的套件中，并试图以此来进行钓鱼攻击获利。

根据网络安全行业门户极牛网GEEKNB.COM的梳理，网络钓鱼工具包通常在地下论坛上一次性付款出售，是包含图像、脚本和 HTML 页面的资料包，使攻击者能够设置网络钓鱼电子邮件和页面，使用它们作为诱饵来收集凭据并将其传输给攻击者的服务器。

TodayZoo 网络钓鱼活动没有什么不同，发件人电子邮件冒充 Microsoft，声称是密码重置或传真和扫描仪通知，将受害者重定向到凭据收集页面。最突出的是网络钓鱼工具包本身，它是由从其他工具包中提取的大量代码拼凑而成的，一些可通过可公开访问的诈骗卖家出售，或者由其他工具包经销商重复使用和重新包装。

具体来说，该框架的大部分似乎是从另一个名为 DanceVida 的工具包中大量提取出来的，而模仿和混淆相关的组件与至少五个其他网络钓鱼工具包（例如 Botssoft、FLCFFood、Office-RD117、 WikiRed 和 Zenfo。

这项研究进一步证明，当今观察到或可用的大多数网络钓鱼工具包都是基于大型的钓鱼工具包家族，虽然之前已经观察到这种趋势，但鉴于我们看到的网络钓鱼工具包在它们之间共享大量代码，这表明网络钓鱼工具包的大量泛滥并形成有规模的威胁。