O nouă platformă de phishing Microsoft 365 ca serviciu, numită „FlowerStorm”, devine tot mai populară, umplând golul lăsat în urma închiderii bruște a serviciului de cybercriminalitate Rockstar2FA.
Documentat pentru prima dată de Trustwave la sfârșitul lunii noiembrie 2024, Rockstar2FA a funcționat ca o platformă PhaaS care facilita atacuri de tip adversar în mijloc (AiTM) la scară largă, vizând credențialele Microsoft 365.
Serviciul oferea mecanisme avansate de evitare, un panou prietenos pentru utilizatori și numeroase opțiuni de phishing, vânzând accesul cybercriminalilor pentru 200 de dolari la două săptămâni.
Potrivit cercetătorilor de la Sophos, Sean Gallagher și Mark Parsons, Rockstar2FA a suferit un colaps parțial al infrastructurii la 11 noiembrie 2024, făcând ca multe dintre paginile serviciului să devină inaccesibile.
Sophos afirmă că acest lucru nu pare a fi rezultatul unei acțiuni a autorităților împotriva platformei de cybercriminalitate, ci mai degrabă o defecțiune tehnică.
Câteva săptămâni mai târziu, FlowerStorm, care a apărut online pentru prima dată în iunie 2024, a început să câștige rapid popularitate.
Sophos a constatat că noul serviciu, FlowerStorm PhaaS, împărtășește multe caracteristici văzute anterior în Rockstar2FA, așa că este posibil ca operatorii să fi rebranduit sub un nume nou pentru a reduce expunerea.
Sophos a identificat mai multe similarități între Rockstar2FA și FlowerStorm, sugerând o ascendență comună sau o suprapunere operațională:
„Nu putem lega cu o încredere ridicată Rockstar2FA și FlowerStorm, în afara de a remarca că kiturile reflectă o ascendență comună, cel puțin datorită conținutului similar al kiturilor folosite,” concluzionează Sophos.
„Modelele similare de înregistrare a domeniilor ar putea fi un reflex al faptului că FlowerStorm și Rockstar lucrează în coordonare, deși este de asemenea posibil ca aceste modele coincidente să fie conduse de forțele de pe piață mai mult decât de platforme în sine.”
Fie care ar fi povestea din spatele creșterii bruște a FlowerStorm, pentru utilizatori și organizații, este încă un facilitator al atacurilor de phishing dăunătoare care ar putea duce la cyberatacuri deplin dezvoltate.
Telemetria Sophos arată că aproximativ 63% dintre organizațiile și 84% dintre utilizatorii vizati de FlowerStorm sunt în Statele Unite.
Sectoarele cel mai des vizate sunt serviciile (33%), producția (21%), retail-ul (12%) și serviciile financiare (8%).
Pentru a vă proteja împotriva atacurilor de phishing, utilizați autentificarea multi-factor (MFA) cu token-uri FIDO2 rezistente la AiTM, implementați soluții de filtrare a emailurilor și utilizați filtrarea DNS pentru a bloca accesul la domenii suspecte precum .ru, .moscow și .dev.
Noi servicii de phishing Rockstar 2FA vizează conturile Microsoft 365
Microsoft disruptează infrastructura de phishing ca serviciu ONNX
Campania de abuzare a HubSpot vizează 20.000 de conturi Microsoft Azure
Atacul de phishing în curs de desfășurare abuzează de Calendarul Google pentru a trece de filtrele de spam
Noile emailuri false despre scurgeri de date Ledger încearcă să fure portofele de criptomonede
Leave a Reply