Bộ công cụ PhaaS Rockstar 2FA

Các chuyên gia an ninh mạng đã nêu lên mối lo ngại về một mối nguy hiểm đang gia tăng: các chiến dịch email đe dọa sử dụng bộ công cụ Phishing-as-a-Service (PhaaS) được gọi là Rockstar 2FA. Bộ công cụ này, được thiết kế để thu thập thông tin đăng nhập tài khoản Microsoft 365, là một phương pháp tiếp cận tiên tiến đối với các cuộc tấn công lừa đảo.

Bằng cách tận dụng các kỹ thuật Adversary-in-The-Middle (AiTM), Rockstar 2FA cho phép kẻ tấn công chặn thông tin đăng nhập của người dùng và cookie phiên. Đáng báo động là ngay cả các tài khoản được bảo vệ bằng Xác thực đa yếu tố (MFA) cũng dễ bị tấn công, cho thấy sự tinh vi ngày càng tăng của các hoạt động tội phạm mạng.

Sự phát triển từ DadSec đến Rockstar 2FA

Rockstar 2FA có vẻ là phiên bản nâng cấp của bộ công cụ lừa đảo DadSec, còn được gọi là Phoenix. Microsoft đã tích cực theo dõi những người sáng tạo và phân phối bộ công cụ này dưới tên mã Storm-1575.

Đúng với mô hình PhaaS của mình, Rockstar 2FA được tiếp thị trên các nền tảng như ICQ, Telegram và Mail.ru. Với mức phí đăng ký là 200 đô la trong hai tuần hoặc 350 đô la trong một tháng, nó cho phép ngay cả những tên tội phạm mạng thiếu kinh nghiệm cũng có thể triển khai các chiến dịch lừa đảo quy mô lớn với kiến thức kỹ thuật tối thiểu.

Các tính năng chính trao quyền cho tội phạm mạng

Các nhà phát triển Rockstar 2FA quảng bá nhiều tính năng được thiết kế để tăng cường hiệu quả của các chiến dịch lừa đảo. Bao gồm:

• Bỏ qua 2FA: Công cụ giúp vượt qua các biện pháp bảo vệ Xác thực đa yếu tố.
• Chiếm đoạt phiên : Thu thập cookie để truy cập trái phép.
• Bảo vệ chống bot: Cơ chế chặn quét bảo mật tự động.
• Trang đăng nhập có thể tùy chỉnh: Chủ đề mô phỏng các thương hiệu và dịch vụ đáng tin cậy.
• Tích hợp Telegram: Thông báo và cập nhật qua bot Telegram.

Ngoài ra, 'bảng quản trị hiện đại, thân thiện với người dùng' cho phép người dùng quản lý các chiến dịch của mình một cách hiệu quả, từ việc tạo liên kết lừa đảo đến cá nhân hóa các mẫu để tăng tính xác thực.

Khai thác lòng tin thông qua các công cụ quen thuộc

Một trong những chiến thuật nổi bật được các chiến dịch Rockstar 2FA sử dụng là sử dụng chiến lược các nền tảng đáng tin cậy như Atlassian Confluence, Google Docs Viewer, Microsoft OneDrive, OneNote và Dynamics 365 Customer Voice để lưu trữ các liên kết lừa đảo. Bằng cách nhúng các URL độc hại vào các dịch vụ có uy tín này, kẻ tấn công sẽ tận dụng được lòng tin mà người dùng dành cho chúng, làm tăng khả năng xâm phạm thành công.

Chiến thuật tinh vi để tránh bị phát hiện

Các chiến dịch 2FA của Rockstar sử dụng nhiều phương pháp khác nhau để phân phối mồi nhử lừa đảo. Bao gồm:

• URL nhúng: Liên kết nhúng trong email có vẻ hợp lệ.
• Mã QR: Một hình thức lừa đảo hiện đại, bỏ qua việc phân tích liên kết truyền thống.
• Tệp đính kèm tài liệu: Tệp được thiết kế để thu hút người dùng nhấp vào.

Để tránh bị phát hiện hơn nữa, bộ công cụ kết hợp các kỹ thuật như kiểm tra chống bot bằng Cloudflare Turnstile và các trình chuyển hướng hợp pháp như trình rút gọn URL và dịch vụ viết lại URL. Các biện pháp này giúp các trang lừa đảo tránh được bộ lọc chống thư rác và các công cụ phân tích mối đe dọa tự động.

Bắt chước thương hiệu một cách chính xác

Các trang lừa đảo của Rockstar 2FA được thiết kế tỉ mỉ để bắt chước các trang đăng nhập của các dịch vụ phổ biến. Mặc dù mã HTML được che giấu, các trang này vẫn duy trì mức độ xác thực cao. Khi người dùng nhập thông tin xác thực của họ, dữ liệu được truyền đến máy chủ AiTM theo thời gian thực. Thông tin xác thực đã thu thập được sau đó được sử dụng để trích xuất cookie phiên, cấp cho kẻ tấn công quyền truy cập vào tài khoản của nạn nhân mà không kích hoạt các thử thách xác thực bổ sung.

Lời kêu gọi cảnh giác

Sự xuất hiện của Rockstar 2FA nhấn mạnh nhu cầu các tổ chức và cá nhân phải luôn cảnh giác. Các chiến thuật lừa đảo nâng cao như các cuộc tấn công AiTM có thể vượt qua các biện pháp bảo mật truyền thống, khiến việc áp dụng phương pháp tiếp cận nhiều lớp để bảo vệ tài khoản trở nên quan trọng. Giáo dục người dùng thường xuyên, cùng với các công cụ phát hiện tiên tiến, đóng vai trò then chốt trong việc giảm thiểu các mối đe dọa như vậy.