مجموعة أدوات Rockstar 2FA PhaaS

أعرب خبراء الأمن السيبراني عن مخاوفهم بشأن خطر متزايد: حملات البريد الإلكتروني التهديدية التي تستخدم مجموعة أدوات التصيد الاحتيالي كخدمة (PhaaS) المعروفة باسم Rockstar 2FA. تمثل مجموعة الأدوات هذه، المصممة لجمع بيانات اعتماد حساب Microsoft 365، نهجًا متقدمًا لهجمات التصيد الاحتيالي.

من خلال الاستفادة من تقنيات Adversary-in-The-Middle (AiTM)، تمكن تقنية Rockstar 2FA المهاجمين من اعتراض بيانات اعتماد المستخدم وملفات تعريف الارتباط الخاصة بالجلسة. ومن المثير للقلق أن حتى الحسابات المحمية بتقنية المصادقة متعددة العوامل (MFA) معرضة لهذه الهجمات، مما يبرز التطور المتواصل لعمليات المجرمين الإلكترونيين.

التطور من DadSec إلى Rockstar 2FA

يبدو أن Rockstar 2FA عبارة عن نسخة مطورة من مجموعة التصيد DadSec، المعروفة أيضًا باسم Phoenix. كانت Microsoft تتعقب بنشاط منشئيها وموزعيها تحت الاسم الرمزي Storm-1575.

وفقًا لنموذج PhaaS، يتم تسويق Rockstar 2FA على منصات مثل ICQ وTelegram وMail.ru. مقابل رسوم اشتراك تبلغ 200 دولار لمدة أسبوعين أو 350 دولارًا لمدة شهر، يسمح حتى لمجرمي الإنترنت عديمي الخبرة بإطلاق حملات تصيد واسعة النطاق مع الحد الأدنى من المعرفة الفنية.

الميزات الرئيسية لتمكين مجرمي الإنترنت

يروج مطورو Rockstar 2FA للعديد من الميزات المصممة لتعزيز فعالية حملات التصيد الاحتيالي. وتشمل هذه الميزات:

• تجاوز 2FA: أدوات لتجاوز دفاعات المصادقة متعددة العوامل.
• اختطاف الجلسة : حصاد ملفات تعريف الارتباط للحصول على وصول غير مصرح به.
• حماية مكافحة الروبوتات: آليات لمنع عمليات فحص الأمان الآلية.
• صفحات تسجيل الدخول القابلة للتخصيص: مواضيع تحاكي العلامات التجارية والخدمات الموثوقة.
• التكامل مع Telegram: الإشعارات والتحديثات عبر روبوتات Telegram.

بالإضافة إلى ذلك، تتيح لوحة الإدارة الحديثة سهلة الاستخدام للمستخدمين إدارة حملاتهم بكفاءة، بدءًا من إنشاء روابط التصيد الاحتيالي إلى تخصيص القوالب لتحقيق مصداقية أكبر.

استغلال الثقة من خلال الأدوات المألوفة

من أبرز التكتيكات التي تستخدمها حملات Rockstar 2FA الاستخدام الاستراتيجي للمنصات الموثوقة مثل Atlassian Confluence وGoogle Docs Viewer وMicrosoft OneDrive وOneNote وDynamics 365 Customer Voice لاستضافة روابط التصيد الاحتيالي. من خلال تضمين عناوين URL الضارة داخل هذه الخدمات ذات السمعة الطيبة، يستغل المهاجمون الثقة التي يضعها المستخدمون فيها، مما يزيد من احتمالية حدوث اختراق ناجح.

تكتيكات متطورة لتجنب الكشف

تستخدم حملات Rockstar 2FA أساليب متنوعة لتوزيع إغراءات التصيد الاحتيالي. وتشمل هذه الأساليب:

• عناوين URL المضمنة: الروابط المضمنة في رسائل البريد الإلكتروني والتي تبدو شرعية.
• رموز الاستجابة السريعة (QR Codes): لمسة حديثة للتصيد الاحتيالي، تتجاوز تحليل الروابط التقليدي.
• مرفقات المستندات: ملفات مصممة لجذب المستخدمين للنقر عليها.

وللتهرب بشكل أكبر من الاكتشاف، تتضمن مجموعة الأدوات تقنيات مثل عمليات فحص مكافحة الروبوتات باستخدام Cloudflare Turnstile وإعادة التوجيه المشروعة مثل اختصارات عناوين URL وخدمات إعادة كتابة عناوين URL. تساعد هذه التدابير صفحات التصيد الاحتيالي على التهرب من مرشحات مكافحة البريد العشوائي وأدوات تحليل التهديدات الآلية.

تقليد العلامات التجارية بدقة

تم تصميم صفحات التصيد الاحتيالي الخاصة بـ Rockstar 2FA بعناية لتقليد صفحات تسجيل الدخول للخدمات الشائعة. وعلى الرغم من التعتيم المطبق على كود HTML، فإن هذه الصفحات تحافظ على درجة عالية من الأصالة. بمجرد إدخال المستخدم لبيانات اعتماده، يتم نقل البيانات إلى خادم AiTM في الوقت الفعلي. ثم يتم استخدام بيانات الاعتماد المجمعة لاستخراج ملفات تعريف الارتباط للجلسة، مما يمنح المهاجمين إمكانية الوصول إلى حساب الضحية دون إثارة تحديات مصادقة إضافية.

نداء لليقظة

يؤكد ظهور Rockstar 2FA على الحاجة إلى أن تظل المؤسسات والأفراد يقظين. يمكن لتكتيكات التصيد المتقدمة مثل هجمات AiTM تجاوز تدابير الأمان التقليدية، مما يجعل من الضروري تبني نهج متعدد الطبقات لحماية الحساب. يلعب تعليم المستخدم المنتظم، إلى جانب أدوات الكشف المتقدمة، دورًا محوريًا في التخفيف من مثل هذه التهديدات.