Rockstar 2FA PhaaS Toolkit

Eksperter på nettsikkerhet har reist bekymringer om en økende fare: truende e-postkampanjer ved bruk av et Phishing-as-a-Service (PhaaS) verktøysett kjent som Rockstar 2FA. Dette verktøysettet, designet for å hente inn Microsoft 365-kontolegitimasjon, representerer en avansert tilnærming til phishing-angrep.

Ved å utnytte Adversary-in-The-Middle (AiTM) teknikker, gjør Rockstar 2FA det mulig for angripere å avskjære brukerlegitimasjon og øktinformasjonskapsler. Alarmerende nok er selv kontoer som er beskyttet med Multi-Factor Authentication (MFA) sårbare for disse angrepene, noe som viser den utviklende sofistikeringen av cyberkriminelle operasjoner.

Evolusjon fra DadSec til Rockstar 2FA

Rockstar 2FA ser ut til å være en oppgradert iterasjon av DadSec phishing-settet, også kjent som Phoenix. Microsoft har aktivt sporet sine skapere og distributører under kodenavnet Storm-1575.

Tro mot PhaaS-modellen, markedsføres Rockstar 2FA på plattformer som ICQ, Telegram og Mail.ru. For en abonnementsavgift på $200 for to uker eller $350 for en måned, lar det selv uerfarne nettkriminelle lansere storskala phishing-kampanjer med minimal teknisk kunnskap.

Nøkkelfunksjoner som styrker nettkriminelle

Utviklerne av Rockstar 2FA fremmer en rekke funksjoner designet for å forbedre effektiviteten til phishing-kampanjer. Disse inkluderer:

• 2FA Bypass: Verktøy for å omgå forsvar av multifaktorautentisering.
• Sesjonskapring : Innhøsting av informasjonskapsler for å få uautorisert tilgang.
• Antibot Protection: Mekanismer for å blokkere automatiserte sikkerhetsskanninger.
• Tilpassbare påloggingssider: Temaer som etterligner pålitelige merker og tjenester.
• Telegram-integrasjon: Varsler og oppdateringer via Telegram-roboter.

I tillegg lar dets "moderne, brukervennlige admin-panel" brukere administrere kampanjene sine effektivt, fra å generere phishing-lenker til å tilpasse maler for større autentisitet.

Utnytte tillit gjennom kjente verktøy

En av de fremtredende taktikkene brukt av Rockstar 2FA-kampanjer er strategisk bruk av pålitelige plattformer som Atlassian Confluence, Google Docs Viewer, Microsoft OneDrive, OneNote og Dynamics 365 Customer Voice for å være vert for phishing-lenker. Ved å bygge inn ondsinnede URL-er i disse anerkjente tjenestene, utnytter angripere tilliten brukerne har til dem, og øker sannsynligheten for et vellykket kompromiss.

Sofistikert taktikk for å unngå deteksjon

Rockstar 2FA-kampanjer bruker forskjellige metoder for å distribuere phishing-lokker. Disse inkluderer:

• Innebygde URL-er: Lenker innebygd i e-poster som virker legitime.
• QR-koder: En moderne vri på phishing, som omgår tradisjonell lenkeanalyse.
• Dokumentvedlegg: Filer laget for å lokke brukere til å klikke.

For ytterligere å unngå gjenkjenning, inneholder verktøysettet teknikker som antibot-sjekker ved bruk av Cloudflare Turnstile og legitime omdirigerere som URL-forkortere og URL-omskrivingstjenester. Disse tiltakene hjelper phishing-sidene med å unngå antispamfiltre og automatiserte trusselanalyseverktøy.

Etterligner merkevarer med presisjon

Rockstar 2FAs phishing-sider er omhyggelig designet for å etterligne påloggingssidene til populære tjenester. Til tross for obfuskering på HTML-koden, opprettholder disse sidene en høy grad av autentisitet. Når en bruker angir legitimasjonen sin, blir dataene overført til en AiTM-server i sanntid. Den innsamlede legitimasjonen brukes deretter til å trekke ut øktinformasjonskapsler, og gir angripere tilgang til offerets konto uten å utløse ytterligere autentiseringsutfordringer.

En oppfordring til årvåkenhet

Fremveksten av Rockstar 2FA understreker behovet for organisasjoner og enkeltpersoner å være årvåkne. Avanserte phishing-taktikker som AiTM-angrep kan omgå tradisjonelle sikkerhetstiltak, noe som gjør det avgjørende å ta i bruk en flerlags tilnærming til kontobeskyttelse. Regelmessig brukeropplæring, sammen med avanserte deteksjonsverktøy, spiller en sentral rolle for å redusere slike trusler.