„Rockstar 2FA PhaaS Toolkit“.
Kibernetinio saugumo ekspertai išreiškė susirūpinimą dėl didėjančio pavojaus: grasinančių el. pašto kampanijų, kuriose naudojamas sukčiavimo kaip paslauga (PhaaS) įrankių rinkinys, žinomas kaip Rockstar 2FA. Šis įrankių rinkinys, skirtas „Microsoft 365“ paskyros kredencialams surinkti, yra pažangus požiūris į sukčiavimo atakas.
Naudodama „Adversary-in-The-Middle“ (AiTM) metodus, „Rockstar 2FA“ leidžia užpuolikams perimti vartotojo kredencialus ir seanso slapukus. Nerimą kelia tai, kad net paskyros, apsaugotos naudojant daugiafaktorinį autentifikavimą (MFA), yra pažeidžiamos šių atakų, o tai rodo, kad kibernetinių nusikaltėlių operacijos tobulėja.
Turinys
Evoliucija nuo DadSec iki Rockstar 2FA
Atrodo, kad „Rockstar 2FA“ yra atnaujintas „DadSec“ sukčiavimo rinkinio, taip pat žinomo kaip „Phoenix“, iteracija. „Microsoft“ aktyviai seka savo kūrėjus ir platintojus kodiniu pavadinimu Storm-1575.
Tikra savo PhaaS modeliui, Rockstar 2FA parduodama tokiose platformose kaip ICQ, Telegram ir Mail.ru. Už 200 USD prenumeratos mokestį dviem savaitėms arba 350 USD mėnesiui leidžia net nepatyrusiems kibernetiniams nusikaltėliams pradėti didelio masto sukčiavimo kampanijas turint minimalias technines žinias.
Pagrindinės funkcijos, suteikiančios galių kibernetiniams nusikaltėliams
„Rockstar 2FA“ kūrėjai reklamuoja daugybę funkcijų, skirtų padidinti sukčiavimo kampanijų efektyvumą. Tai apima:
- 2FA apėjimas: įrankiai, skirti apeiti kelių faktorių autentifikavimo apsaugą.
- Seanso užgrobimas : slapukų rinkimas siekiant gauti neteisėtą prieigą.
- Apsauga nuo antibotų: automatinio saugos nuskaitymo blokavimo mechanizmai.
- Pritaikomi prisijungimo puslapiai: temos, imituojančios patikimus prekės ženklus ir paslaugas.
- „Telegram“ integravimas: pranešimai ir atnaujinimai per „Telegram“ robotus.
Be to, jo „modernus, patogus administravimo skydelis“ leidžia vartotojams efektyviai tvarkyti kampanijas – nuo sukčiavimo nuorodų generavimo iki šablonų suasmeninimo siekiant didesnio autentiškumo.
Pasitikėjimo išnaudojimas naudojant pažįstamus įrankius
Viena iš išskirtinių „Rockstar 2FA“ kampanijų taktikų yra strategiškas patikimų platformų, tokių kaip „Atlassian Confluence“, „Google Docs Viewer“, „Microsoft OneDrive“, „OneNote“ ir „Dynamics 365 Customer Voice“, naudojimas sukčiavimo nuorodoms priglobti. Įterpdami kenkėjiškus URL šiose geros reputacijos paslaugose, užpuolikai išnaudoja vartotojų pasitikėjimą jomis ir padidina sėkmingo kompromiso tikimybę.
Sudėtinga taktika, kaip išvengti aptikimo
„Rockstar 2FA“ kampanijose naudojami įvairūs sukčiavimo jaukų platinimo metodai. Tai apima:
- Įterptieji URL: el. laiškuose įterptos nuorodos, kurios atrodo teisėtos.
- QR kodai: šiuolaikiškas sukčiavimo sukčiavimo posūkis, aplenkiant tradicinę nuorodų analizę.
- Dokumentų priedai: failai, skirti pritraukti vartotojus spustelėti.
Kad būtų išvengta aptikimo, įrankių rinkinys apima tokius metodus kaip antibotų tikrinimas naudojant „Cloudflare Turnstile“ ir teisėtus peradresatorius, pvz., URL sutrumpinimo priemones ir URL perrašymo paslaugas. Šios priemonės padeda sukčiavimo puslapiams išvengti antispam filtrų ir automatinių grėsmių analizės įrankių.
Prekių ženklų mėgdžiojimas tiksliai
„Rockstar 2FA“ sukčiavimo puslapiai yra kruopščiai sukurti taip, kad imituotų populiarių paslaugų prisijungimo puslapius. Nepaisant HTML kodo užtemimo, šie puslapiai išlaiko aukštą autentiškumo lygį. Kai vartotojas įveda savo kredencialus, duomenys realiuoju laiku perduodami į AiTM serverį. Tada surinkti kredencialai naudojami seanso slapukams išgauti, užpuolikams suteikiant prieigą prie aukos paskyros nesukeliant papildomų autentifikavimo iššūkių.
Kvietimas būti budriems
„Rockstar 2FA“ atsiradimas pabrėžia, kad organizacijos ir asmenys turi išlikti budrūs. Pažangios sukčiavimo taktikos, tokios kaip AiTM atakos, gali apeiti tradicines saugumo priemones, todėl labai svarbu taikyti daugiasluoksnį paskyros apsaugos metodą. Reguliarus vartotojų mokymas kartu su pažangiais aptikimo įrankiais atlieka pagrindinį vaidmenį mažinant tokias grėsmes.
