Νέα υπηρεσία phishing Rockstar 2FA στοχεύει λογαριασμούς Microsoft 365

Μια νέα πλατφόρμα phishing-as-a-service (PhaaS) με την ονομασία «Rockstar 2FA» έχει εμφανιστεί, διευκολύνοντας τις επιθέσεις μεγάλης κλίμακας αντιπάλου-in-the-middle (AiTM) για την κλοπή των διαπιστευτηρίων του Microsoft 365.

Όπως και άλλες πλατφόρμες AiTM, το Rockstar 2FA επιτρέπει στους εισβολείς να παρακάμπτουν τις προστασίες ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) σε στοχευμένους λογαριασμούς, παρεμποδίζοντας έγκυρα cookie περιόδου λειτουργίας.

Αυτές οι επιθέσεις λειτουργούν κατευθύνοντας τα θύματα σε μια ψεύτικη σελίδα σύνδεσης που μιμείται το Microsoft 365 και εξαπατώντας τα να εισαγάγουν τα διαπιστευτήριά τους.

Ο διακομιστής AiTM λειτουργεί ως διακομιστής μεσολάβησης, προωθώντας αυτά τα διαπιστευτήρια στη νόμιμη υπηρεσία της Microsoft για την ολοκλήρωση της διαδικασίας ελέγχου ταυτότητας και, στη συνέχεια, καταγράφει το cookie όταν αποστέλλεται πίσω στο πρόγραμμα περιήγησης του στόχου.

Αυτό το cookie μπορεί στη συνέχεια να χρησιμοποιηθεί από τους φορείς απειλών για άμεση πρόσβαση στον λογαριασμό του θύματος, ακόμα κι αν προστατεύεται από MFA, με τον παράγοντα απειλής να μην χρειάζεται καθόλου τα διαπιστευτήρια.

Rise of Rockstar 2FA

Trustwave εκθέσεις ότι το Rockstar 2FA είναι στην πραγματικότητα μια ενημερωμένη έκδοση των κιτ phishing DadSec και Phoenix, τα οποία κέρδισαν έλξη στις αρχές και στα τέλη του 2023 αντίστοιχα.

Οι ερευνητές λένε ότι το Rockstar 2FA έχει κερδίσει σημαντική δημοτικότητα στην κοινότητα του εγκλήματος στον κυβερνοχώρο από τον Αύγουστο του 2024, πουλώντας 200 $ για δύο εβδομάδες ή 180 $ για ανανέωση πρόσβασης API.

Η υπηρεσία προωθείται στο Telegram, μεταξύ άλλων, με μια μακρά λίστα χαρακτηριστικών όπως:

• Υποστήριξη για Microsoft 365, Hotmail, Godaddy, SSO
• Τυχαιοποιημένος πηγαίος κώδικας και σύνδεσμοι για αποφυγή εντοπισμού
• Ενσωμάτωση Cloudflare Turnstile Captcha για έλεγχο θυμάτων
• Αυτοματοποιημένα συνημμένα και σύνδεσμοι FUD
• Φιλικό προς τον χρήστη πίνακα διαχείρισης με αρχεία καταγραφής σε πραγματικό χρόνο και επιλογές δημιουργίας αντιγράφων ασφαλείας
• Πολλά θέματα σελίδων σύνδεσης με αυτόματη επωνυμία οργανισμού (λογότυπο, φόντο)

Η υπηρεσία έχει δημιουργήσει πάνω από 5.000 τομείς phishing από τον Μάιο του 2024, διευκολύνοντας διάφορες λειτουργίες phishing.

Οι ερευνητές λένε ότι οι σχετικές εκστρατείες ηλεκτρονικού ψαρέματος που παρατήρησαν καταχρώνται νόμιμες πλατφόρμες μάρκετινγκ ηλεκτρονικού ταχυδρομείου ή παραβιάζουν λογαριασμούς για τη διάδοση κακόβουλων μηνυμάτων σε στόχους.

Τα μηνύματα χρησιμοποιούν μια ποικιλία δολωμάτων, συμπεριλαμβανομένων ειδοποιήσεων κοινής χρήσης εγγράφων, ειδοποιήσεων του τμήματος IT, ειδοποιήσεων επαναφοράς κωδικού πρόσβασης και μηνυμάτων που σχετίζονται με τη μισθοδοσία.

Η Trustwave λέει ότι αυτά τα μηνύματα χρησιμοποιούν μια σειρά από μεθόδους αποφυγής μπλοκ, συμπεριλαμβανομένων κωδικών QR, συμπερίληψης συνδέσμων από νόμιμες υπηρεσίες συντόμευσης και συνημμένων PDF.

Μια πρόκληση περιστροφικής πύλης Cloudflare χρησιμοποιείται για το φιλτράρισμα των ρομπότ, ενώ η επίθεση πιθανότατα περιλαμβάνει και ελέγχους IP πριν κατευθυνθούν έγκυροι στόχοι σε μια σελίδα phishing σύνδεσης του Microsoft 365.

Εάν ο επισκέπτης θεωρείται bot, ερευνητής ασφάλειας ή στόχος εκτός πεδίου εφαρμογής, ανακατευθύνεται σε μια αβλαβή σελίδα με θέμα το αυτοκίνητο.

Το JavaScript στη σελίδα προορισμού αποκρυπτογραφεί και ανακτά είτε τη σελίδα phishing είτε το δόλωμα με θέμα το αυτοκίνητο με βάση την αξιολόγηση του επισκέπτη από τον διακομιστή AiTM.

Η εμφάνιση και ο πολλαπλασιασμός του Rockstar 2FA αντικατοπτρίζει την επιμονή των χειριστών phishing, οι οποίοι συνεχίζουν να προσφέρουν παράνομες υπηρεσίες παρά τις σημαντικές επιχειρήσεις επιβολής του νόμου που κατέστρεψαν μια από τις μεγαλύτερες πλατφόρμες PhaaS πρόσφατα και συλλάβανε τους χειριστές της.

Όσο αυτά τα εργαλεία βασικών προϊόντων συνεχίζουν να είναι προσβάσιμα για τους εγκληματίες του κυβερνοχώρου με χαμηλό κόστος, ο κίνδυνος μεγάλης κλίμακας αποτελεσματικών πράξεων ηλεκτρονικού ψαρέματος παραμένει σημαντικός.