Rockstar 2FA PhaaS 工具包

網路安全專家對日益嚴重的危險表示擔憂：利用名為 Rockstar 2FA 的網路釣魚即服務 (PhaaS) 工具包進行威脅性電子郵件活動。該工具包旨在收集 Microsoft 365 帳戶憑證，代表了一種高級的網路釣魚攻擊方法。

透過利用中間對手 (AiTM) 技術，Rockstar 2FA 使攻擊者能夠攔截使用者憑證和會話 cookie。令人擔憂的是，即使是受多重身分驗證 (MFA) 保護的帳戶也容易受到這些攻擊，這表明網路犯罪活動的複雜程度不斷提高。

從 DadSec 到 Rockstar 2FA 的演變

Rockstar 2FA 似乎是 DadSec 網路釣魚工具包（也稱為 Phoenix）的升級版本。微軟一直在積極追蹤其代號 Storm-1575 的創作者和發行者。

正如其 PhaaS 模型一樣，Rockstar 2FA 在 ICQ、Telegram 和 Mail.ru 等平台上進行行銷。只需支付兩週 200 美元或每月 350 美元的訂閱費，即使是沒有經驗的網路犯罪分子也可以利用最少的技術知識發起大規模的網路釣魚活動。

為網路犯罪分子提供支援的主要功能

Rockstar 2FA 的開發人員推廣了許多旨在提高網路釣魚活動有效性的功能。這些包括：

• 2FA 繞過：繞過多重身分驗證防禦的工具。
• 會話劫持：收集 cookie 以獲得未經授權的存取。
• 反機器人保護：阻止自動安全掃描的機制。
• 可自訂的登入頁面：模仿值得信賴的品牌和服務的主題。
• Telegram 整合：透過 Telegram 機器人通知與更新。

此外，其「現代、用戶友好的管理面板」允許用戶有效地管理他們的活動，從生成網路釣魚連結到個人化模板以提高真實性。

透過熟悉的工具利用信任

Rockstar 2FA 活動採用的突出策略之一是策略性地使用 Atlassian Confluence、Google Docs Viewer、Microsoft OneDrive、OneNote 和 Dynamics 365 Customer Voice 等可信任平台來託管網路釣魚連結。透過在這些信譽良好的服務中嵌入惡意 URL，攻擊者可以利用使用者對它們的信任，從而增加成功入侵的可能性。

逃避檢測的複雜策略

Rockstar 2FA 活動採用多種方法來分發網路釣魚誘餌。這些包括：

• 嵌入 URL：嵌入在看似合法的電子郵件中的連結。
• QR 碼：網路釣魚的現代變體，繞過傳統的連結分析。
• 文件附件：旨在吸引使用者點擊的文件。

為了進一步逃避偵測，該工具包結合了使用 Cloudflare Turnstile 進行反機器人檢查等技術以及 URL 縮短器和 URL 重寫服務等合法重新導向器。這些措施可協助網路釣魚頁面逃避反垃圾郵件過濾器和自動威脅分析工具。

精準模仿品牌

Rockstar 2FA 的網路釣魚頁面經過精心設計，模仿流行服務的登入頁面。儘管對 HTML 程式碼進行了混淆處理，這些頁面仍然保持了高度的真實性。使用者輸入憑證後，資料就會即時傳輸到 AiTM 伺服器。然後，收集到的憑證用於提取會話 cookie，允許攻擊者存取受害者的帳戶，而不會觸發額外的身份驗證挑戰。

呼籲保持警惕

Rockstar 2FA 的出現凸顯了組織和個人保持警覺的必要性。 AiTM 攻擊等先進的網路釣魚策略可以繞過傳統的安全措施，因此採用多層方法來保護帳戶至關重要。定期的用戶教育以及先進的檢測工具在減輕此類威脅方面發揮關鍵作用。