Rockstar 2FA PhaaS Araç Takımı
Siber güvenlik uzmanları, büyüyen bir tehlike hakkında endişelerini dile getirdiler: Rockstar 2FA olarak bilinen Phishing-as-a-Service (PhaaS) araç setini kullanan tehdit edici e-posta kampanyaları. Microsoft 365 hesap kimlik bilgilerini toplamak için tasarlanan bu araç seti, kimlik avı saldırılarına yönelik gelişmiş bir yaklaşımı temsil ediyor.
Rockstar 2FA, Ortadaki Düşman (AiTM) tekniklerinden yararlanarak saldırganların kullanıcı kimlik bilgilerini ve oturum çerezlerini ele geçirmesini sağlar. Endişe verici bir şekilde, Çok Faktörlü Kimlik Doğrulama (MFA) ile korunan hesaplar bile bu saldırılara karşı savunmasızdır ve bu da siber suç operasyonlarının gelişen karmaşıklığını göstermektedir.
İçindekiler
DadSec’ten Rockstar 2FA’ya Evrim
Rockstar 2FA, Phoenix olarak da bilinen DadSec kimlik avı kitinin yükseltilmiş bir yinelemesi gibi görünüyor. Microsoft, Storm-1575 kod adı altında yaratıcılarını ve dağıtımcılarını aktif olarak izliyor.
Rockstar 2FA, PhaaS modeline sadık kalarak ICQ, Telegram ve Mail.ru gibi platformlarda pazarlanmaktadır. İki hafta için 200$ veya bir ay için 350$ abonelik ücreti karşılığında, deneyimsiz siber suçluların bile asgari teknik bilgiyle büyük ölçekli kimlik avı kampanyaları başlatmasına olanak tanır.
Siber Suçluları Güçlendiren Temel Özellikler
Rockstar 2FA geliştiricileri, kimlik avı kampanyalarının etkinliğini artırmak için tasarlanmış çok sayıda özelliği teşvik eder. Bunlar şunları içerir:
- 2FA Baypas: Çok Faktörlü Kimlik Doğrulama savunmalarını aşmak için araçlar.
- Oturum Kaçırma : Yetkisiz erişim elde etmek için çerezleri toplamak.
- Antibot Koruması: Otomatik güvenlik taramalarını engelleme mekanizmaları.
- Özelleştirilebilir Giriş Sayfaları: Güvenilir markaları ve hizmetleri taklit eden temalar.
- Telegram Entegrasyonu: Telegram botları aracılığıyla bildirimler ve güncellemeler.
Ayrıca, 'modern, kullanıcı dostu yönetici paneli' kullanıcıların kampanyalarını etkili bir şekilde yönetmelerine olanak tanıyor; kimlik avı bağlantıları oluşturmaktan daha fazla güvenilirlik için şablonları kişiselleştirmeye kadar birçok özellik sunuyor.
Tanıdık Araçlar Aracılığıyla Güveni Kullanma
Rockstar 2FA kampanyaları tarafından kullanılan göze çarpan taktiklerden biri, kimlik avı bağlantılarını barındırmak için Atlassian Confluence, Google Docs Viewer, Microsoft OneDrive, OneNote ve Dynamics 365 Customer Voice gibi güvenilir platformların stratejik kullanımıdır. Saldırganlar, bu saygın hizmetlere kötü amaçlı URL'ler yerleştirerek kullanıcıların onlara duyduğu güvenden yararlanır ve başarılı bir uzlaşma olasılığını artırır.
Tespit Edilmekten Kaçmak İçin Gelişmiş Taktikler
Rockstar 2FA kampanyaları kimlik avı tuzaklarını dağıtmak için çeşitli yöntemler kullanır. Bunlar şunları içerir:
- Gömülü URL'ler: E-postalara gömülü ve meşru görünen bağlantılar.
- QR Kodları: Geleneksel bağlantı analizini atlatarak kimlik avına modern bir yaklaşım.
- Belge Ekleri: Kullanıcıları tıklamaya teşvik etmek için tasarlanmış dosyalar.
Tespitten daha fazla kaçınmak için araç takımı, Cloudflare Turnstile ve URL kısaltıcılar ve URL yeniden yazma hizmetleri gibi meşru yönlendiriciler kullanarak antibot kontrolleri gibi teknikleri içerir. Bu önlemler, kimlik avı sayfalarının antispam filtrelerinden ve otomatik tehdit analiz araçlarından kaçmasına yardımcı olur.
Markaları Hassasiyetle Taklit Etmek
Rockstar 2FA'nın kimlik avı sayfaları, popüler hizmetlerin oturum açma sayfalarını taklit etmek için titizlikle tasarlanmıştır. HTML koduna uygulanan karartmaya rağmen, bu sayfalar yüksek düzeyde bir özgünlük sağlar. Bir kullanıcı kimlik bilgilerini girdiğinde, veriler gerçek zamanlı olarak bir AiTM sunucusuna iletilir. Toplanan kimlik bilgileri daha sonra oturum çerezlerini çıkarmak için kullanılır ve saldırganlara ek kimlik doğrulama zorluklarını tetiklemeden kurbanın hesabına erişim izni verir.
Dikkat Çağrısı
Rockstar 2FA'nın ortaya çıkışı, kuruluşların ve bireylerin uyanık kalması gerektiğinin altını çiziyor. AiTM saldırıları gibi gelişmiş kimlik avı taktikleri, geleneksel güvenlik önlemlerini aşabilir ve bu da hesap korumasına yönelik çok katmanlı bir yaklaşım benimsemeyi kritik hale getirir. Düzenli kullanıcı eğitimi, gelişmiş tespit araçlarıyla birlikte, bu tür tehditleri azaltmada önemli bir rol oynar.
