Фишинговая услуга Rockstar 2FA нацелена на пользователей Microsoft 365

Исследователи по кибербезопасности предупреждают о вредоносных кампаниях по электронной почте, использующих набор инструментов «фишинг как услуга» ( PhaaS ) под названием Rockstar 2FA с целью кражи учетных данных Microsoft 365.
Фишинговая услуга Rockstar 2FA нацелена на пользователей Microsoft 365

Фишинговая услуга Rockstar 2FA нацелена на пользователей Microsoft 365. Фото: СС0

В этой кампании используется атака AitM [злоумышленник посередине], позволяющая перехватывать учетные данные пользователя и сеансовые файлы cookie, а это значит, что даже пользователи с включенной многофакторной аутентификацией (MFA) могут быть уязвимы, заявили исследователи Trustwave.

Rockstar 2FA оценивается как обновленная версия фишингового набора DadSec (он же Phoenix). Microsoft отслеживает разработчиков и дистрибьюторов платформы Dadsec PhaaS под псевдонимом Storm-1575 .

Фишинговый набор рекламируется через такие сервисы, как ICQ, Telegram и Mail.ru по модели подписки за 200 $ на две недели (или 350 $ в месяц), что позволяет киберпреступникам с небольшими техническими знаниями или без них организовывать масштабные кампании.

Некоторые из продвигаемых функций Rockstar 2FA включают обход двухфакторной аутентификации (2FA), сбор файлов cookie 2FA, защиту от ботов, темы страниц входа, имитирующие популярные сервисы, полностью необнаруживаемые ссылки (FUD) и интеграцию бота Telegram.

Софт имеет «современную, удобную панель администратора», которая позволяет клиентам отслеживать статус своих фишинговых кампаний, генерировать URL-адреса и вложения и даже персонализировать темы, применяемые к созданным ссылкам.

Серии атак, обнаруженные Trustwave, используют различные начальные векторы доступа, такие как URL-адреса, QR-коды и вложения документов, которые встроены в сообщения, отправленные со взломанных аккаунтов или спам-инструментов. В письмах используются различные шаблоны приманок, начиная от уведомлений о совместном использовании файлов и заканчивая запросами на электронные подписи.

Помимо использования законных перенаправлений ссылок (например, сокращенных URL-адресов, открытых перенаправлений, служб защиты URL-адресов или служб перезаписи URL-адресов) в качестве механизма обхода обнаружения спама, комплект включает в себя проверки на наличие ботов с использованием Cloudflare Turnstile в попытке предотвратить автоматизированный анализ фишинговых страниц AitM.

Команда Trustwave заявила, что обнаружила, что платформа использует легитимные сервисы, такие как Atlassian Confluence, Google Docs Viewer, LiveAgent, а также Microsoft OneDrive, OneNote и Dynamics 365 Customer Voice, для размещения фишинговых ссылок, подчеркнув, что злоумышленники пользуются доверием, которое возникает при использовании таких платформ.

Раскрытие информации произошло после того, как администрация компании Malwarebytes рассказала о фишинговой кампании под названием Beluga, которая использует вложения .HTM, чтобы обманом заставить получателей электронных писем ввести свои учетные данные Microsoft OneDrive в поддельную форму входа, а затем эти данные передаются боту Telegram.

Также было обнаружено, что фишинговые ссылки и мошенническая реклама игр со ставками в социальных сетях продвигают рекламные приложения, такие как MobiDash, а также мошеннические финансовые приложения, которые крадут персональные данные и деньги под видом обещаний быстрой прибыли.

Больше интересного

Актуальное

Обнаружен первый вредоносный UEFI-буткит для Linux
Исследователи предупредили об используемой хакерами критической уязвимости ProjectSend
Библиотека XMLRPC npm крадет данные и развертывает криптомайнер
Ещё…