Η νέα υπηρεσία phishing της Microsoft FlowerStorm καλύπτει το κενό που άφησε το Rockstar2FA

Μια νέα πλατφόρμα phishing ως υπηρεσία του Microsoft 365 που ονομάζεται “FlowerStorm” αυξάνεται σε δημοτικότητα, καλύπτοντας το κενό που άφησε πίσω του ο ξαφνικός τερματισμός της υπηρεσίας εγκλήματος στον κυβερνοχώρο Rockstar2FA.

Τεκμηριώθηκε για πρώτη φορά από την Trustwave στα τέλη Νοεμβρίου 2024, το Rockstar2FA λειτούργησε ως πλατφόρμα PhaaS που διευκολύνει τις επιθέσεις μεγάλης κλίμακας αντιπάλου-in-the-middle (AiTM) που στοχεύουν τα διαπιστευτήρια του Microsoft 365.

Η υπηρεσία προσέφερε προηγμένους μηχανισμούς φοροδιαφυγής, ένα φιλικό προς τον χρήστη πίνακα και πολυάριθμες επιλογές phishing, πουλώντας πρόσβαση σε εγκληματίες του κυβερνοχώρου για 200 $/δύο εβδομάδες.

Σύμφωνα με τους ερευνητές του Sophos, Sean Gallagher και Mark Parsons, το Rockstar2FA υπέστη μερική κατάρρευση υποδομής στις 11 Νοεμβρίου 2024, καθιστώντας πολλές από τις σελίδες της υπηρεσίας απρόσιτες.

Η Sophos λέει ότι αυτό δεν φαίνεται να είναι αποτέλεσμα δράσης των αρχών επιβολής του νόμου κατά της πλατφόρμας για το έγκλημα στον κυβερνοχώρο, αλλά μάλλον μια τεχνική αποτυχία.

Λίγες εβδομάδες αργότερα, το FlowerStorm, το οποίο εμφανίστηκε για πρώτη φορά στο διαδίκτυο τον Ιούνιο του 2024, άρχισε να κερδίζει γρήγορα έλξη.

Ένα πιθανό rebrand του Rockstar2FA;

Η Sophos ανακάλυψε ότι η νέα υπηρεσία, FlowerStorm PhaaS, μοιράζεται πολλά χαρακτηριστικά που είχαν προηγουμένως εμφανιστεί στο Rockstar2FA, επομένως είναι πιθανό οι φορείς εκμετάλλευσης να μετονομάζονται με νέο όνομα για να μειώσουν την έκθεση.

Ο Sophos εντόπισε αρκετές ομοιότητες μεταξύ Rockstar2FA και FlowerStorm, υποδηλώνοντας μια κοινή καταγωγή ή λειτουργική επικάλυψη:

1. Και οι δύο πλατφόρμες χρησιμοποιούν πύλες ηλεκτρονικού ψαρέματος που μιμούνται νόμιμες σελίδες σύνδεσης (π.χ. Microsoft) για τη συλλογή διαπιστευτηρίων και διακριτικών MFA, βασιζόμενες σε διακομιστές υποστήριξης που φιλοξενούνται σε τομείς όπως .ru και .com. Το Rockstar2FA χρησιμοποίησε τυχαιοποιημένα σενάρια PHP, ενώ το FlowerStorm τυποποίησε με next.php.
2. Η δομή HTML των σελίδων ηλεκτρονικού “ψαρέματος” τους είναι πολύ παρόμοια, με τυχαίο κείμενο στα σχόλια, χαρακτηριστικά ασφαλείας “turnstile” του Cloudflare και προτροπές όπως “Εκκίνηση των πρωτοκόλλων ασφαλείας του προγράμματος περιήγησης”. Το Rockstar2FA χρησιμοποίησε θέματα για τα αυτοκίνητα, ενώ το FlowerStorm στράφηκε σε βοτανικά θέματα, αλλά ο υποκείμενος σχεδιασμός παραμένει συνεπής.
3. Οι μέθοδοι συλλογής διαπιστευτηρίων ευθυγραμμίζονται στενά, χρησιμοποιώντας πεδία όπως email, πάσο και διακριτικά παρακολούθησης περιόδου σύνδεσης. Και οι δύο πλατφόρμες υποστηρίζουν επικύρωση email και έλεγχο ταυτότητας MFA μέσω των συστημάτων υποστήριξης τους.
4. Τα πρότυπα εγγραφής τομέα και φιλοξενίας αλληλοεπικαλύπτονται σημαντικά, με έντονη χρήση των τομέων .ru και .com και των υπηρεσιών Cloudflare. Τα μοτίβα δραστηριότητάς τους έδειξαν συγχρονισμένες αυξήσεις και πτώσεις μέχρι τα τέλη του 2024, υποδεικνύοντας πιθανό συντονισμό.
5. Οι δύο πλατφόρμες έκαναν λειτουργικά λάθη που εξέθεσαν τα συστήματα υποστήριξης και επέδειξαν υψηλή επεκτασιμότητα. Το Rockstar2FA διαχειριζόταν πάνω από 2.000 τομείς, ενώ το FlowerStorm επεκτάθηκε γρήγορα μετά την κατάρρευση του Rockstar2FA, προτείνοντας ένα κοινό πλαίσιο.

“Δεν μπορούμε με μεγάλη σιγουριά να συνδέσουμε το Rockstar2FA και το FlowerStorm, εκτός από το να σημειώσουμε ότι τα κιτ αντικατοπτρίζουν τουλάχιστον μια κοινή καταγωγή λόγω του παρόμοιου περιεχομένου των κιτ που έχουν αναπτυχθεί.” καταλήγει ο Σοφός.

“Τα παρόμοια μοτίβα εγγραφής τομέα θα μπορούσαν να είναι μια αντανάκλαση της συνεργασίας των FlowerStorm και Rockstar, αν και είναι επίσης πιθανό αυτά τα μοτίβα αντιστοίχισης να καθοδηγούνται περισσότερο από τις δυνάμεις της αγοράς παρά από τις ίδιες τις πλατφόρμες.”

Ένας νέος κίνδυνος εγείρεται

Όποια κι αν είναι η ιστορία πίσω από την ξαφνική άνοδο του FlowerStorm, για τους χρήστες και τους οργανισμούς, είναι ένας ακόμη παράγοντας καταστροφής επιθέσεων phishing που θα μπορούσαν να οδηγήσουν σε πλήρεις κυβερνοεπιθέσεις.

Η τηλεμετρία του Sophos δείχνει ότι περίπου το 63% των οργανισμών και το 84% των χρηστών που στοχεύουν το FlowerStorm έχουν έδρα στις Ηνωμένες Πολιτείες.

Οι πιο στοχευμένοι τομείς είναι οι υπηρεσίες (33%), η μεταποίηση (21%), το λιανικό εμπόριο (12%) και οι χρηματοοικονομικές υπηρεσίες (8%).

Για προστασία από επιθέσεις phishing, χρησιμοποιήστε έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) με διακριτικά FIDO2 που είναι ανθεκτικά σε AiTM, αναπτύξτε λύσεις φιλτραρίσματος email και χρησιμοποιήστε φιλτράρισμα DNS για να αποκλείσετε την πρόσβαση σε ύποπτους τομείς όπως .ru, .moscow και .dev.