Rockstar 2FA PhaaS набор инструментов
Эксперты по кибербезопасности выразили обеспокоенность по поводу растущей опасности: угрожающие кампании по электронной почте с использованием набора инструментов Phishing-as-a-Service (PhaaS), известного как Rockstar 2FA. Этот набор инструментов, предназначенный для сбора учетных данных Microsoft 365, представляет собой передовой подход к фишинговым атакам.
Используя методы Adversary-in-The-Middle (AiTM), Rockstar 2FA позволяет злоумышленникам перехватывать учетные данные пользователя и файлы cookie сеанса. Тревожно, что даже учетные записи, защищенные с помощью многофакторной аутентификации (MFA), уязвимы для этих атак, демонстрируя растущую изощренность операций киберпреступников.
Оглавление
Эволюция от DadSec до Rockstar 2FA
Rockstar 2FA, по-видимому, является усовершенствованной версией фишингового набора DadSec, также известного как Phoenix. Microsoft активно отслеживает его создателей и распространителей под кодовым именем Storm-1575.
Верный своей модели PhaaS, Rockstar 2FA продается на таких платформах, как ICQ, Telegram и Mail.ru. За абонентскую плату в размере 200 долларов США за две недели или 350 долларов США за месяц он позволяет даже неопытным киберпреступникам запускать масштабные фишинговые кампании с минимальными техническими знаниями.
Ключевые особенности, расширяющие возможности киберпреступников
Разработчики Rockstar 2FA продвигают многочисленные функции, призванные повысить эффективность фишинговых кампаний. К ним относятся:
- Обход 2FA: инструменты для обхода защиты многофакторной аутентификации.
- Перехват сеанса : сбор файлов cookie для получения несанкционированного доступа.
- Защита от ботов: механизмы блокировки автоматизированных сканирований безопасности.
- Настраиваемые страницы входа: темы, имитирующие надежные бренды и сервисы.
- Интеграция с Telegram: уведомления и обновления через ботов Telegram.
Кроме того, его «современная, удобная панель администратора» позволяет пользователям эффективно управлять своими кампаниями — от создания фишинговых ссылок до персонализации шаблонов для большей аутентичности.
Использование доверия с помощью знакомых инструментов
Одной из выдающихся тактик, используемых в кампаниях Rockstar 2FA, является стратегическое использование доверенных платформ, таких как Atlassian Confluence, Google Docs Viewer, Microsoft OneDrive, OneNote и Dynamics 365 Customer Voice, для размещения фишинговых ссылок. Внедряя вредоносные URL-адреса в эти авторитетные сервисы, злоумышленники извлекают выгоду из доверия пользователей к ним, увеличивая вероятность успешной компрометации.
Изощренная тактика уклонения от обнаружения
Кампании Rockstar 2FA используют различные методы распространения фишинговых приманок. К ним относятся:
- Встроенные URL-адреса: ссылки, встроенные в электронные письма, которые кажутся подлинными.
- QR-коды: современный вариант фишинга, позволяющий обойти традиционный анализ ссылок.
- Прикрепленные документы: файлы, призванные побудить пользователей кликнуть по ним.
Для дальнейшего уклонения от обнаружения набор инструментов включает такие методы, как проверки на наличие ботов с использованием Cloudflare Turnstile и легитимные редиректоры, такие как сервисы сокращения URL и перезаписи URL. Эти меры помогают фишинговым страницам обходить антиспам-фильтры и автоматизированные инструменты анализа угроз.
Точное копирование брендов
Фишинговые страницы Rockstar 2FA тщательно разработаны для имитации страниц входа в популярные сервисы. Несмотря на обфускацию, примененную к HTML-коду, эти страницы сохраняют высокую степень аутентичности. Как только пользователь вводит свои учетные данные, данные передаются на сервер AiTM в режиме реального времени. Собранные учетные данные затем используются для извлечения сеансовых cookie-файлов, предоставляя злоумышленникам доступ к учетной записи жертвы без запуска дополнительных проблем аутентификации.
Призыв к бдительности
Появление Rockstar 2FA подчеркивает необходимость для организаций и отдельных лиц сохранять бдительность. Продвинутые фишинговые тактики, такие как атаки AiTM, могут обходить традиционные меры безопасности, что делает критически важным принятие многоуровневого подхода к защите учетных записей. Регулярное обучение пользователей, наряду с передовыми инструментами обнаружения, играет ключевую роль в смягчении таких угроз.
