微軟 365 Defender團隊在上周披露了大規模的竊取證書式網絡釣魚活動，并呼吁警惕將不同工具代碼拼接成定制套件來竊取用戶登錄信息的釣魚工具——“TodayZoo”。

　　去年年底，微軟團隊就檢測到“TodayZoo”的釣魚活動，攻擊者冒充微軟發送電子郵件，聲稱密碼重置或傳真和掃描器通知，將受害者重新定向到證書竊取頁面實施犯罪。

　　具體而言，TodayZoo 的攻擊方式與另一個名為DanceVida的工具類似，都是通過模仿和混淆與Botssoft、FLCFood、Office-RD117、WikiRed和Zenfo等產生代碼重疊的相關組件，只不過TodayZoo 是用自己的過濾邏輯替換了證書收集組件的原有功能。

　　微軟研究人員介紹稱：TodayZoo之所以被廣泛運用，是因為大量可供出售或出租的網絡釣魚工具，使得獨狼式攻擊者很容易從中挑選最佳功能，并將這些功能整合到一個定制的套件中試圖為自己牟利。

　　這些套件可以通過公開的詐騙賣家出售，也可能被轉售商重新使用和包裝。而在暗網，包含圖像、腳本和HTML頁面的檔案文件通常以一次性付款的方式被打包出售，以便攻擊者能夠設置釣魚電子郵件和頁面，利用它們作為誘餌，收集并傳輸憑證到攻擊者控制的服務器。

　　據微軟觀察：目前大多數可用的釣魚工具都來源于已有的工具集群，由于網絡釣魚工具之間大量的代碼共享，這一趨勢仍將成為一種常態。