Rockstar 2FA PhaaS 工具包

网络安全专家对日益严重的危险表示担忧：威胁电子邮件活动利用名为 Rockstar 2FA 的网络钓鱼即服务 (PhaaS) 工具包。该工具包旨在获取 Microsoft 365 帐户凭据，代表了一种高级网络钓鱼攻击方法。

通过利用中间人攻击 (AiTM) 技术，Rockstar 2FA 可让攻击者拦截用户凭据和会话 cookie。令人担忧的是，即使使用多重身份验证 (MFA) 保护的帐户也容易受到这些攻击，这表明网络犯罪活动日益复杂。

从 DadSec 到 Rockstar 2FA 的演变

Rockstar 2FA 似乎是 DadSec 网络钓鱼工具包（也称为 Phoenix）的升级版本。微软一直在积极追踪代号为 Storm-1575 的该工具包的创建者和分销商。

Rockstar 2FA 秉承了 PhaaS 模式，在 ICQ、Telegram 和 Mail.ru 等平台上销售。订阅费用为两周 200 美元或一个月 350 美元，即使是没有经验的网络犯罪分子，只要具备最低限度的技术知识，也能发起大规模的网络钓鱼活动。

主要特点 赋能网络犯罪分子

Rockstar 2FA 的开发人员推广了许多旨在增强网络钓鱼活动有效性的功能。这些包括：

• 2FA 绕过：规避多因素身份验证防御的工具。
• 会话劫持：收集 cookie 以获取未经授权的访问。
• 反机器人保护：阻止自动安全扫描的机制。
• 可定制的登录页面：模仿可信品牌和服务的主题。
• Telegram 集成：通过 Telegram 机器人发送通知和更新。

此外，其“现代、用户友好的管理面板”允许用户有效地管理他们的活动，从生成网络钓鱼链接到个性化模板以提高真实性。

利用熟悉的工具赢得信任

Rockstar 2FA 活动采用的突出策略之一是战略性地使用 Atlassian Confluence、Google Docs Viewer、Microsoft OneDrive、OneNote 和 Dynamics 365 Customer Voice 等受信任平台来托管网络钓鱼链接。通过在这些信誉良好的服务中嵌入恶意 URL，攻击者可以利用用户对它们的信任，从而增加成功入侵的可能性。

逃避侦查的复杂策略

Rockstar 2FA 活动采用多种方法来分发网络钓鱼诱饵。 这些包括：

• 嵌入的 URL：嵌入在看似合法的电子邮件中的链接。
• QR 码：网络钓鱼的现代变体，可绕过传统的链接分析。
• 文档附件：旨在吸引用户点击的文件。

为了进一步逃避检测，该工具包采用了多种技术，例如使用 Cloudflare Turnstile 进行反机器人检查以及合法的重定向器（例如 URL 缩短器和 URL 重写服务）。这些措施可帮助网络钓鱼页面逃避反垃圾邮件过滤器和自动威胁分析工具。

精准模仿品牌

Rockstar 2FA 的钓鱼页面经过精心设计，模仿了热门服务的登录页面。尽管 HTML 代码经过了混淆处理，但这些页面仍然保持了高度的真实性。一旦用户输入其凭据，数据就会实时传输到 AiTM 服务器。然后，收集到的凭据将用于提取会话 cookie，从而使攻击者无需触发额外的身份验证挑战即可访问受害者的帐户。

呼吁警惕

Rockstar 2FA 的出现强调了组织和个人保持警惕的必要性。AiTM 攻击等高级网络钓鱼策略可以绕过传统的安全措施，因此采用多层方法保护帐户至关重要。定期的用户教育以及先进的检测工具在减轻此类威胁方面发挥着关键作用。