back to top
Δευτέρα, 2 Δεκεμβρίου, 2024
ΑρχικήNewsΝέα υπηρεσία phishing Rockstar 2FA στοχεύει λογαριασμούς Microsoft 365

Νέα υπηρεσία phishing Rockstar 2FA στοχεύει λογαριασμούς Microsoft 365


Μια νέα πλατφόρμα phishing-as-a-service (PhaaS) με την ονομασία «Rockstar 2FA» έχει εμφανιστεί, διευκολύνοντας τις επιθέσεις μεγάλης κλίμακας αντιπάλου-in-the-middle (AiTM) για την κλοπή των διαπιστευτηρίων του Microsoft 365.

Όπως και άλλες πλατφόρμες AiTM, το Rockstar 2FA επιτρέπει στους εισβολείς να παρακάμπτουν τις προστασίες ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) σε στοχευμένους λογαριασμούς, παρεμποδίζοντας έγκυρα cookie περιόδου λειτουργίας.

Αυτές οι επιθέσεις λειτουργούν κατευθύνοντας τα θύματα σε μια ψεύτικη σελίδα σύνδεσης που μιμείται το Microsoft 365 και εξαπατώντας τα να εισαγάγουν τα διαπιστευτήριά τους.

Ο διακομιστής AiTM λειτουργεί ως διακομιστής μεσολάβησης, προωθώντας αυτά τα διαπιστευτήρια στη νόμιμη υπηρεσία της Microsoft για την ολοκλήρωση της διαδικασίας ελέγχου ταυτότητας και, στη συνέχεια, καταγράφει το cookie όταν αποστέλλεται πίσω στο πρόγραμμα περιήγησης του στόχου.

Αυτό το cookie μπορεί στη συνέχεια να χρησιμοποιηθεί από τους φορείς απειλών για άμεση πρόσβαση στον λογαριασμό του θύματος, ακόμα κι αν προστατεύεται από MFA, με τον παράγοντα απειλής να μην χρειάζεται καθόλου τα διαπιστευτήρια.

Ροή επίθεσης
Ροή επίθεσης του Rockstar 2FA
Πηγή: Trustwave

Rise of Rockstar 2FA

Trustwave εκθέσεις ότι το Rockstar 2FA είναι στην πραγματικότητα μια ενημερωμένη έκδοση των κιτ phishing DadSec και Phoenix, τα οποία κέρδισαν έλξη στις αρχές και στα τέλη του 2023 αντίστοιχα.

Οι ερευνητές λένε ότι το Rockstar 2FA έχει κερδίσει σημαντική δημοτικότητα στην κοινότητα του εγκλήματος στον κυβερνοχώρο από τον Αύγουστο του 2024, πουλώντας 200 $ για δύο εβδομάδες ή 180 $ για ανανέωση πρόσβασης API.

Ο πίνακας διαχείρισης του Rockstar 2FA
Ο πίνακας διαχείρισης του Rockstar 2FA
Πηγή: Trustwave

Η υπηρεσία προωθείται στο Telegram, μεταξύ άλλων, με μια μακρά λίστα χαρακτηριστικών όπως:

  • Υποστήριξη για Microsoft 365, Hotmail, Godaddy, SSO
  • Τυχαιοποιημένος πηγαίος κώδικας και σύνδεσμοι για αποφυγή εντοπισμού
  • Ενσωμάτωση Cloudflare Turnstile Captcha για έλεγχο θυμάτων
  • Αυτοματοποιημένα συνημμένα και σύνδεσμοι FUD
  • Φιλικό προς τον χρήστη πίνακα διαχείρισης με αρχεία καταγραφής σε πραγματικό χρόνο και επιλογές δημιουργίας αντιγράφων ασφαλείας
  • Πολλά θέματα σελίδων σύνδεσης με αυτόματη επωνυμία οργανισμού (λογότυπο, φόντο)

Η υπηρεσία έχει δημιουργήσει πάνω από 5.000 τομείς phishing από τον Μάιο του 2024, διευκολύνοντας διάφορες λειτουργίες phishing.

Οι ερευνητές λένε ότι οι σχετικές εκστρατείες ηλεκτρονικού ψαρέματος που παρατήρησαν καταχρώνται νόμιμες πλατφόρμες μάρκετινγκ ηλεκτρονικού ταχυδρομείου ή παραβιάζουν λογαριασμούς για τη διάδοση κακόβουλων μηνυμάτων σε στόχους.

Τα μηνύματα χρησιμοποιούν μια ποικιλία δολωμάτων, συμπεριλαμβανομένων ειδοποιήσεων κοινής χρήσης εγγράφων, ειδοποιήσεων του τμήματος IT, ειδοποιήσεων επαναφοράς κωδικού πρόσβασης και μηνυμάτων που σχετίζονται με τη μισθοδοσία.

Η Trustwave λέει ότι αυτά τα μηνύματα χρησιμοποιούν μια σειρά από μεθόδους αποφυγής μπλοκ, συμπεριλαμβανομένων κωδικών QR, συμπερίληψης συνδέσμων από νόμιμες υπηρεσίες συντόμευσης και συνημμένων PDF.

Μηνύματα ηλεκτρονικού ψαρέματος που αποστέλλονται από το Rockstar 2FA
Μηνύματα ηλεκτρονικού ψαρέματος που αποστέλλονται από το Rockstar 2FA
Πηγή: Trustwave

Μια πρόκληση περιστροφικής πύλης Cloudflare χρησιμοποιείται για το φιλτράρισμα των ρομπότ, ενώ η επίθεση πιθανότατα περιλαμβάνει και ελέγχους IP πριν κατευθυνθούν έγκυροι στόχοι σε μια σελίδα phishing σύνδεσης του Microsoft 365.

Όγκος αιτημάτων πρόκλησης Cloudflare Turnstile που συνδέονται με το Rockstar 2FA
Όγκος αιτημάτων πρόκλησης Cloudflare Turnstile που συνδέονται με το Rockstar 2FA
Πηγή: Turstwave

Εάν ο επισκέπτης θεωρείται bot, ερευνητής ασφάλειας ή στόχος εκτός πεδίου εφαρμογής, ανακατευθύνεται σε μια αβλαβή σελίδα με θέμα το αυτοκίνητο.

Το JavaScript στη σελίδα προορισμού αποκρυπτογραφεί και ανακτά είτε τη σελίδα phishing είτε το δόλωμα με θέμα το αυτοκίνητο με βάση την αξιολόγηση του επισκέπτη από τον διακομιστή AiTM.

Ανακατεύθυνση σε μια σελίδα phishing ή μια σελίδα παραπλάνησης
Ανακατεύθυνση σε μια σελίδα phishing ή μια σελίδα παραπλάνησης
Πηγή: Trustwave

Η εμφάνιση και ο πολλαπλασιασμός του Rockstar 2FA αντικατοπτρίζει την επιμονή των χειριστών phishing, οι οποίοι συνεχίζουν να προσφέρουν παράνομες υπηρεσίες παρά τις σημαντικές επιχειρήσεις επιβολής του νόμου που κατέστρεψαν μια από τις μεγαλύτερες πλατφόρμες PhaaS πρόσφατα και συλλάβανε τους χειριστές της.

Όσο αυτά τα εργαλεία βασικών προϊόντων συνεχίζουν να είναι προσβάσιμα για τους εγκληματίες του κυβερνοχώρου με χαμηλό κόστος, ο κίνδυνος μεγάλης κλίμακας αποτελεσματικών πράξεων ηλεκτρονικού ψαρέματος παραμένει σημαντικός.



VIA: bleepingcomputer.com


Greek Live Channels Όλα τα Ελληνικά κανάλια:
Βρίσκεστε μακριά από το σπίτι ή δεν έχετε πρόσβαση σε τηλεόραση;
Το IPTV σας επιτρέπει να παρακολουθείτε όλα τα Ελληνικά κανάλια και άλλο περιεχόμενο από οποιαδήποτε συσκευή συνδεδεμένη στο διαδίκτυο.
Αν θες πρόσβαση σε όλα τα Ελληνικά κανάλια Πατήστε Εδώ


Ακολουθήστε το TechFreak.GR στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.


Dimitris Marizas
Dimitris Marizashttps://techfreak.gr
Παθιασμένος με τις νέες τεχνολογίες, με έφεση στην καινοτομία και τη δημιουργικότητα. Διαρκώς αναζητώ τρόπους αξιοποίησης της τεχνολογίας για την επίλυση προβλημάτων και τη βελτίωση της καθημερινής ζωής.
Διάφορα από την ίδια κατηγορία

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

εισάγετε το σχόλιό σας!
παρακαλώ εισάγετε το όνομά σας εδώ

Δημοφιλείς Άρθρα

Τελευταία Νέα