O nouă platformă de phishing ca serviciu (PhaaS) numită ‘Rockstar 2FA’ a apărut, facilitând atacuri de tip adversary-in-the-middle (AiTM) la scară largă pentru a fura credențiale Microsoft 365.
Asemenea altor platforme AiTM, Rockstar 2FA permite atacatorilor să ocolească protecțiile de autentificare multifactorială (MFA) de pe conturile vizate interceptând cookie-uri de sesiune valide.
Aceste atacuri funcționează prin redirecționarea victimelor către o pagină falsă de autentificare care imită Microsoft 365 și inducerea în eroare a acestora pentru a-și introduce credențialele.
Serverul AiTM acționează ca un proxy, transmitând acele credențiale serviciului legitim Microsoft pentru a finaliza procesul de autentificare și apoi capturând cookie-ul atunci când este trimis înapoi în browserul țintei.
Acest cookie poate fi apoi folosit de actorii răufăcători pentru acces direct la contul victimei, chiar dacă este protejat cu MFA, fără ca actorul răufăcător să aibă nevoie de credențiale deloc.
Trustwave raportează că Rockstar 2FA este de fapt o versiune actualizată a kiturilor de phishing DadSec și Phoenix, care au câștigat popularitate la începutul și respectiv la sfârșitul anului 2023.
Cercetătorii spun că Rockstar 2FA a câștigat o popularitate semnificativă în comunitatea cibernetică începând cu august 2024, fiind vândut pentru 200 de dolari pentru două săptămâni sau 180 de dolari pentru reînnoirea accesului API.
Serviciul este promovat pe Telegram, printre alte locuri, laudându-se cu o lungă listă de caracteristici precum:
Serviciul a înființat peste 5.000 de domenii de phishing începând din mai 2024, facilitând diverse operațiuni de phishing.
Cercetătorii spun că campaniile de phishing conexe pe care le-au observat abuzează platformele legitime de marketing prin e-mail sau conturile compromise pentru a disemina mesaje maligne către ținte.
Mesajele folosesc diverse momealuri, inclusiv notificări de partajare a documentelor, anunțuri de departament IT, alerte de resetare a parolelor și mesaje legate de payroll.
Trustwave spune că aceste mesaje utilizează o gamă de metode de evitare a blocării incluzând coduri QR, includerea de linkuri de la servicii legitime de scurtare a linkurilor și atașamente PDF.
Un challenge turnstile Cloudflare este folosit pentru a filtra boturile, în timp ce atacul include probabil și verificări de IP înainte ca țintele valide să fie redirecționate către o pagină falsă de autentificare Microsoft 365.
Dacă vizitatorul este considerat a fi un bot, un cercetător de securitate sau o țintă în general în afara domeniului de acțiune, ei sunt redirecționați către o pagină decoy inofensivă cu tematică auto.
JavaScript-ul de pe pagina de aterizare decriptează și recuperează fie pagina de phishing, fie pagina decoy cu tematică auto în funcție de evaluarea serverului AiTM a vizitatorului.
Apariția și proliferarea Rockstar 2FA reflectă persistența operatorilor de phishing, care continuă să ofere servicii ilicite în ciuda operațiunilor semnificative ale autorităților pentru a pune capăt uneia dintre cele mai mari platforme de PhaaS recent și pentru a aresta operatorii acesteia.
Cât timp aceste instrumente de comerț continuă să fie accesibile pentru infractorii cibernetici la un cost scăzut, riscul unor operațiuni de phishing eficiente la scară largă rămâne semnificativ.
Leave a Reply