近日，微軟在分析最近一次網絡釣魚攻擊事件中發現，犯罪分子使用了名為TodayZoo的新型工具包，該工具包沒有任何自己開發的功能，而是剪裁和整合其他惡意軟件拼湊而成。TodayZoo工具包大量使用了另一個工具包DanceVida的代碼，而其他組件與至少五個網絡釣魚工具包的代碼顯著匹配。

　　據了解，微軟于2020年12月首次發現該網絡釣魚工具包，但在其2021年3月和2021年6月一系列重大活動中，該工具包試圖竊取微軟用戶憑據，導致微軟威脅情報團隊對該工具包進行了分析。在分析中，微軟發現TodayZoo和DanceVida兩個套件的代碼有大約30%-35%的重疊，不過，這兩個代碼庫在處理憑據收集方面存在差異。

　　微軟Defender安全研究合作伙伴總監Tanmay Ganacharya表示，由于使用了其他網絡釣魚工具包的部件，因此將該網絡犯罪工具稱為“弗蘭肯網絡釣魚”，該工具包似乎將其他網絡釣魚工具的不同組件結合在一起，而不是使用網絡釣魚即服務產品。

　　TodayZoo工具包

　　與其他常見網絡釣魚工具包一樣，TodayZoo也使用相同的四步攻擊：第一步是將電子郵件發送給目標用戶；第二步將目標用戶重定向到初始頁面；第三步是受害者的瀏覽器被重定向到第二個頁面；最后是將受害者引導至大多數情況下由Digital Ocean托管的最終登錄頁面。

　　“由于其相關活動的重定向模式、域名和其他技術、策略和程序（TTP）的一致性，我們認為攻擊者‘定制’了舊的網絡釣魚工具包模板，修改了憑據收集功能，加入了自己的滲漏邏輯，使TodayZoo僅用于其邪惡目的。”微軟進一步分析指出，“網絡釣魚工具包，類似于惡意軟件，將會變得越來越模塊化。”

　　除模塊化外，網絡釣魚的主戰場也在從電子郵件向移動設備轉移。根據蘋果電腦和設備企業管理工具供應商Jamf發布的一份報告，大多數成功的攻擊都是針對移動用戶，很少來自電子郵件客戶端。而微軟在其《2021年網絡釣魚趨勢報告》中表示，過去一年中，約有10%的移動設備用戶點擊了網絡釣魚鏈接，比過去12個月增長了160%。

　　“研究表明，大多數網絡釣魚工具包都是基于少數幾個大型工具包‘家族’，”微軟指出，“通過我們的觀察發現，網絡釣魚工具包共享大量代碼，已經成為常態。”