ชุดเครื่องมือ PhaaS ของ Rockstar 2FA

ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ได้แสดงความกังวลเกี่ยวกับอันตรายที่เพิ่มมากขึ้น นั่นคือการคุกคามแคมเปญอีเมลโดยใช้ชุดเครื่องมือ Phishing-as-a-Service (PhaaS) ที่เรียกว่า Rockstar 2FA ชุดเครื่องมือนี้ได้รับการออกแบบมาเพื่อรวบรวมข้อมูลประจำตัวบัญชี Microsoft 365 และถือเป็นแนวทางขั้นสูงในการโจมตีแบบฟิชชิ่ง

การใช้เทคนิค Adversary-in-The-Middle (AiTM) ทำให้ Rockstar 2FA ช่วยให้ผู้โจมตีสามารถดักจับข้อมูลประจำตัวผู้ใช้และคุกกี้เซสชันได้ ที่น่าตกใจคือ แม้แต่บัญชีที่ได้รับการป้องกันด้วย Multi-Factor Authentication (MFA) ก็ยังเสี่ยงต่อการโจมตีเหล่านี้ ซึ่งแสดงให้เห็นถึงความซับซ้อนที่พัฒนาขึ้นของการปฏิบัติการทางอาชญากรรมทางไซเบอร์

วิวัฒนาการจาก DadSec ไปสู่ Rockstar 2FA

ดูเหมือนว่า Rockstar 2FA จะเป็นเวอร์ชันอัปเกรดของชุดฟิชชิ่ง DadSec หรือที่รู้จักกันในชื่อ Phoenix Microsoft ได้ติดตามผู้สร้างและผู้จัดจำหน่ายโดยใช้ชื่อรหัส Storm-1575 อย่างจริงจัง

Rockstar 2FA วางจำหน่ายบนแพลตฟอร์มต่างๆ เช่น ICQ, Telegram และ Mail.ru ตามแบบจำลอง PhaaS ค่าธรรมเนียมการสมัครสมาชิก 200 ดอลลาร์สหรัฐฯ เป็นเวลา 2 สัปดาห์หรือ 350 ดอลลาร์สหรัฐฯ ต่อเดือน ช่วยให้แม้แต่ผู้ก่ออาชญากรรมทางไซเบอร์ที่ไม่มีประสบการณ์ก็สามารถเปิดตัวแคมเปญฟิชชิ่งขนาดใหญ่ได้โดยใช้ความรู้ทางเทคนิคเพียงเล็กน้อย

คุณสมบัติหลักในการเสริมพลังให้กับอาชญากรทางไซเบอร์

นักพัฒนา Rockstar 2FA ส่งเสริมคุณสมบัติมากมายที่ออกแบบมาเพื่อเพิ่มประสิทธิภาพของแคมเปญฟิชชิ่ง ซึ่งรวมถึง:

• การหลีกเลี่ยง 2FA: เครื่องมือในการหลีกเลี่ยงการป้องกันการตรวจสอบปัจจัยหลายประการ
• การแฮ็กเซสชัน : การรวบรวมคุกกี้เพื่อเข้าถึงโดยไม่ได้รับอนุญาต
• การป้องกันแอนตี้บอท: กลไกในการบล็อคการสแกนความปลอดภัยอัตโนมัติ
• หน้าเข้าสู่ระบบที่ปรับแต่งได้: ธีมที่เลียนแบบแบรนด์และบริการที่เชื่อถือได้
• การรวม Telegram: การแจ้งเตือนและการอัปเดตผ่านบอท Telegram

นอกจากนี้ 'แผงควบคุมผู้ดูแลระบบที่ทันสมัยและใช้งานง่าย' ยังช่วยให้ผู้ใช้สามารถจัดการแคมเปญของตนได้อย่างมีประสิทธิภาพ ตั้งแต่การสร้างลิงก์ฟิชชิ่งไปจนถึงการปรับแต่งเทมเพลตเพื่อความถูกต้องแท้จริงมากขึ้น

การใช้ประโยชน์จากความไว้วางใจผ่านเครื่องมือที่คุ้นเคย

กลยุทธ์ที่โดดเด่นอย่างหนึ่งที่ใช้โดยแคมเปญ 2FA ของ Rockstar คือการใช้แพลตฟอร์มที่เชื่อถือได้ เช่น Atlassian Confluence, Google Docs Viewer, Microsoft OneDrive, OneNote และ Dynamics 365 Customer Voice เพื่อโฮสต์ลิงก์ฟิชชิ่ง โดยการฝัง URL ที่เป็นอันตรายในบริการที่มีชื่อเสียงเหล่านี้ ผู้โจมตีจะใช้ประโยชน์จากความไว้วางใจที่ผู้ใช้มีต่อบริการเหล่านี้ ทำให้มีโอกาสที่การโจมตีจะประสบความสำเร็จมากขึ้น

กลยุทธ์อันซับซ้อนในการหลบเลี่ยงการตรวจจับ

แคมเปญ 2FA ของ Rockstar ใช้หลากหลายวิธีในการกระจายเหยื่อล่อฟิชชิ่ง ได้แก่:

• URL ที่ฝังไว้: ลิงก์ที่ฝังไว้ในอีเมลซึ่งดูเหมือนว่าจะถูกต้องตามกฎหมาย
• รหัส QR: วิธีการฟิชชิงแบบใหม่ที่หลีกเลี่ยงการวิเคราะห์ลิงก์แบบดั้งเดิม
• ไฟล์ แนบเอกสาร: ไฟล์ที่ออกแบบมาเพื่อดึงดูดให้ผู้ใช้คลิก

เพื่อหลีกเลี่ยงการตรวจจับเพิ่มเติม ชุดเครื่องมือนี้รวมเทคนิคต่างๆ เช่น การตรวจสอบแอนตี้บอตโดยใช้ Cloudflare Turnstile และตัวเปลี่ยนเส้นทางที่ถูกต้อง เช่น ตัวย่อ URL และบริการเขียน URL ใหม่ มาตรการเหล่านี้ช่วยให้หน้าฟิชชิ่งหลบเลี่ยงตัวกรองแอนตี้สแปมและเครื่องมือวิเคราะห์ภัยคุกคามอัตโนมัติ

การเลียนแบบแบรนด์อย่างแม่นยำ

หน้าฟิชชิ่งของ Rockstar 2FA ได้รับการออกแบบมาอย่างพิถีพิถันเพื่อเลียนแบบหน้าล็อกอินของบริการยอดนิยม แม้ว่าจะมีการใช้การบดบังรหัส HTML แต่หน้าเหล่านี้ก็ยังคงมีความถูกต้องในระดับสูง เมื่อผู้ใช้ป้อนข้อมูลประจำตัวแล้ว ข้อมูลจะถูกส่งไปยังเซิร์ฟเวอร์ AiTM แบบเรียลไทม์ จากนั้นข้อมูลประจำตัวที่รวบรวมได้จะถูกใช้เพื่อดึงคุกกี้เซสชัน ทำให้ผู้โจมตีสามารถเข้าถึงบัญชีของเหยื่อได้โดยไม่ต้องเรียกใช้การท้าทายการรับรองความถูกต้องเพิ่มเติม

การเรียกร้องให้มีการเฝ้าระวัง

การเกิดขึ้นของ Rockstar 2FA เน้นย้ำถึงความจำเป็นที่องค์กรและบุคคลต่างๆ จะต้องเฝ้าระวังอยู่เสมอ กลวิธีการฟิชชิ่งขั้นสูง เช่น การโจมตีด้วย AiTM สามารถหลีกเลี่ยงมาตรการรักษาความปลอดภัยแบบเดิมได้ ทำให้การใช้แนวทางหลายชั้นในการปกป้องบัญชีเป็นสิ่งสำคัญอย่างยิ่ง การให้ความรู้แก่ผู้ใช้เป็นประจำควบคู่ไปกับเครื่องมือตรวจจับขั้นสูงมีบทบาทสำคัญในการลดภัยคุกคามดังกล่าว