Rockstar 2FA PhaaS Toolkit
Cybersäkerhetsexperter har uttryckt farhågor om en växande fara: hotfulla e-postkampanjer med hjälp av en Phishing-as-a-Service (PhaaS) verktygslåda som kallas Rockstar 2FA. Denna verktygslåda, utformad för att samla in autentiseringsuppgifter för Microsoft 365-konton, representerar en avancerad metod för nätfiskeattacker.
Genom att utnyttja Adversary-in-The-Middle-tekniker (AiTM) gör Rockstar 2FA det möjligt för angripare att fånga upp användaruppgifter och sessionscookies. Alarmerande nog är till och med konton som skyddas med multifaktorautentisering (MFA) sårbara för dessa attacker, vilket visar upp den utvecklande sofistikeringen av cyberkriminella verksamheter.
Innehållsförteckning
Utveckling från DadSec till Rockstar 2FA
Rockstar 2FA verkar vara en uppgraderad iteration av DadSec phishing-kit, även känt som Phoenix. Microsoft har aktivt spårat sina skapare och distributörer under kodnamnet Storm-1575.
Trogen sin PhaaS-modell marknadsförs Rockstar 2FA på plattformar som ICQ, Telegram och Mail.ru. För en prenumerationsavgift på $200 för två veckor eller $350 för en månad, tillåter det även oerfarna cyberbrottslingar att lansera storskaliga nätfiskekampanjer med minimal teknisk kunskap.
Nyckelfunktioner som stärker cyberkriminella
Utvecklarna av Rockstar 2FA främjar många funktioner som är utformade för att förbättra effektiviteten i nätfiskekampanjer. Dessa inkluderar:
- 2FA Bypass: Verktyg för att kringgå multi-Factor Authentication-försvar.
- Sessionskapning : Skörda cookies för att få obehörig åtkomst.
- Antibot Protection: Mekanismer för att blockera automatiska säkerhetsskanningar.
- Anpassningsbara inloggningssidor: Teman som efterliknar pålitliga varumärken och tjänster.
- Telegram-integration: Aviseringar och uppdateringar via Telegram-bots.
Dessutom tillåter dess "moderna, användarvänliga adminpanel" användare att hantera sina kampanjer effektivt, från att skapa nätfiske-länkar till att anpassa mallar för större äkthet.
Utnyttja förtroende genom välbekanta verktyg
En av de framstående taktikerna som används av Rockstar 2FA-kampanjer är den strategiska användningen av pålitliga plattformar som Atlassian Confluence, Google Docs Viewer, Microsoft OneDrive, OneNote och Dynamics 365 Customer Voice för att vara värd för nätfiske-länkar. Genom att bädda in skadliga webbadresser i dessa välrenommerade tjänster drar angripare fördel av det förtroende som användarna har för dem, vilket ökar sannolikheten för en framgångsrik kompromiss.
Sofistikerad taktik för att undvika upptäckt
Rockstar 2FA-kampanjer använder olika metoder för att distribuera nätfiskebeten. Dessa inkluderar:
- Inbäddade webbadresser: Länkar inbäddade i e-postmeddelanden som verkar legitima.
- QR-koder: En modern twist till nätfiske, som kringgår traditionell länkanalys.
- Dokumentbilagor: Filer utformade för att locka användare att klicka.
För att ytterligare undvika upptäckt innehåller verktygslådan tekniker som antibotkontroller med Cloudflare Turnstile och legitima omdirigerare som URL-förkortare och URL-omskrivningstjänster. Dessa åtgärder hjälper nätfiskesidorna att undvika antispamfilter och automatiserade verktyg för hotanalys.
Efterliknar varumärken med precision
Rockstar 2FA:s nätfiskesidor är noggrant utformade för att imitera inloggningssidorna för populära tjänster. Trots att HTML-koden är förvirrad, bibehåller dessa sidor en hög grad av autenticitet. När en användare anger sina referenser överförs data till en AiTM-server i realtid. De insamlade referenserna används sedan för att extrahera sessionscookies, vilket ger angripare tillgång till offrets konto utan att utlösa ytterligare autentiseringsutmaningar.
En uppmaning till vaksamhet
Framväxten av Rockstar 2FA understryker behovet av att organisationer och individer förblir vaksamma. Avancerad nätfisketaktik som AiTM-attacker kan kringgå traditionella säkerhetsåtgärder, vilket gör det avgörande att anta en flerskiktsstrategi för kontoskydd. Regelbunden användarutbildning, tillsammans med avancerade detekteringsverktyg, spelar en avgörande roll för att mildra sådana hot.
