Rockstar 2FA PhaaS Toolkit

کارشناسان امنیت سایبری نگرانی‌هایی را در مورد یک خطر فزاینده مطرح کرده‌اند: کمپین‌های ایمیل تهدید آمیز با استفاده از جعبه ابزار Phishing-as-a-Service (PhaaS) معروف به Rockstar 2FA. این جعبه ابزار، طراحی شده برای جمع آوری اعتبار حساب مایکروسافت 365، نشان دهنده یک رویکرد پیشرفته برای حملات فیشینگ است.

Rockstar 2FA با استفاده از تکنیک‌های Adversary-in-The-Middle (AiTM) مهاجمان را قادر می‌سازد تا اطلاعات کاربری و کوکی‌های جلسه را رهگیری کنند. نگران کننده است، حتی حساب های محافظت شده با احراز هویت چند عاملی (MFA) در برابر این حملات آسیب پذیر هستند و پیچیدگی در حال تکامل عملیات مجرمانه سایبری را به نمایش می گذارند.

تکامل از DadSec به Rockstar 2FA

به نظر می رسد Rockstar 2FA یک نسخه ارتقا یافته از کیت فیشینگ DadSec است که با نام Phoenix نیز شناخته می شود. مایکروسافت به طور فعال سازندگان و توزیع کنندگان خود را تحت نام رمز Storm-1575 ردیابی کرده است.

Rockstar 2FA وفادار به مدل PhaaS خود، بر روی پلتفرم هایی مانند ICQ، Telegram و Mail.ru عرضه می شود. با هزینه اشتراک 200 دلاری برای دو هفته یا 350 دلاری برای یک ماه، حتی به مجرمان سایبری بی تجربه نیز اجازه می دهد تا کمپین های فیشینگ در مقیاس بزرگ را با حداقل دانش فنی راه اندازی کنند.

ویژگی های کلیدی توانمندسازی مجرمان سایبری

توسعه دهندگان Rockstar 2FA ویژگی های متعددی را ارائه می کنند که برای افزایش اثربخشی کمپین های فیشینگ طراحی شده اند. این موارد عبارتند از:

• 2FA Bypass: ابزارهایی برای دور زدن دفاعیات احراز هویت چند عاملی.
• Session Hijacking : جمع آوری کوکی ها برای دسترسی غیرمجاز.
• محافظت از آنتی بات: مکانیسم هایی برای جلوگیری از اسکن های امنیتی خودکار.
• صفحات ورود قابل تنظیم: تم هایی که از مارک ها و خدمات قابل اعتماد تقلید می کنند.
• یکپارچه سازی تلگرام: اعلان ها و به روز رسانی ها از طریق ربات های تلگرام.

علاوه بر این، "پانل مدیریت مدرن و کاربرپسند" آن به کاربران اجازه می دهد تا کمپین های خود را به طور موثر مدیریت کنند، از ایجاد پیوندهای فیشینگ تا شخصی سازی قالب ها برای اصالت بیشتر.

بهره برداری از اعتماد از طریق ابزارهای آشنا

یکی از تاکتیک‌های برجسته‌ای که در کمپین‌های Rockstar 2FA به کار می‌رود، استفاده استراتژیک از پلتفرم‌های مورد اعتماد مانند Atlassian Confluence، Google Docs Viewer، Microsoft OneDrive، OneNote و Dynamics 365 Customer Voice برای میزبانی پیوندهای فیشینگ است. با تعبیه URL های مخرب در این سرویس های معتبر، مهاجمان از اعتماد کاربران به آن ها استفاده می کنند و احتمال مصالحه موفقیت آمیز را افزایش می دهند.

تاکتیک های پیچیده برای فرار از تشخیص

کمپین های Rockstar 2FA از روش های مختلفی برای توزیع فریب های فیشینگ استفاده می کنند. این موارد عبارتند از:

• URL های جاسازی شده: پیوندهای جاسازی شده در ایمیل هایی که به نظر قانونی می رسند.
• کدهای QR: یک تغییر مدرن برای فیشینگ، دور زدن تجزیه و تحلیل پیوندهای سنتی.
• پیوست‌های سند: فایل‌هایی که برای ترغیب کاربران به کلیک کردن طراحی شده‌اند.

برای فرار بیشتر از تشخیص، این جعبه ابزار از تکنیک هایی مانند بررسی آنتی بات با استفاده از Cloudflare Turnstile و تغییر مسیرهای قانونی مانند کوتاه کننده URL و خدمات بازنویسی URL استفاده می کند. این اقدامات به صفحات فیشینگ کمک می کند تا از فیلترهای ضد هرزنامه و ابزارهای خودکار تجزیه و تحلیل تهدید فرار کنند.

تقلید از برندها با دقت

صفحات فیشینگ Rockstar 2FA با دقت طراحی شده اند تا از صفحات ورود سرویس های محبوب تقلید کنند. علی‌رغم مبهم‌سازی اعمال شده در کد HTML، این صفحات از اعتبار بالایی برخوردار هستند. هنگامی که کاربر اعتبار خود را وارد می کند، داده ها در زمان واقعی به سرور AiTM منتقل می شود. اعتبار جمع‌آوری‌شده سپس برای استخراج کوکی‌های جلسه استفاده می‌شود و به مهاجمان اجازه دسترسی به حساب قربانی را بدون ایجاد چالش‌های احراز هویت اضافی می‌دهد.

فراخوانی برای هوشیاری

ظهور Rockstar 2FA بر لزوم هوشیاری سازمان‌ها و افراد تاکید می‌کند. تاکتیک‌های فیشینگ پیشرفته مانند حملات AiTM می‌توانند اقدامات امنیتی سنتی را دور بزنند و اتخاذ یک رویکرد چند لایه برای محافظت از حساب را ضروری می‌سازند. آموزش منظم کاربران، همراه با ابزارهای تشخیص پیشرفته، نقشی اساسی در کاهش چنین تهدیداتی دارد.