Az új Rockstar PhaaS a Microsoft 365 fiókokat veszi célba
Egy új, Rockstar 2FA nevű adathalász platform jelent meg, amely nagyszabású adversary-in-the-middle (AiTM) támadásokat tesz lehetővé a Microsoft 365 hitelesítő adatok ellopására. Más AiTM platformokhoz hasonlóan a Rockstar 2FA is lehetővé teszi a támadók számára, hogy érvényes munkamenet-sütik elfogásával megkerüljék a többfaktoros hitelesítés (MFA) védelmét a megcélzott fiókokon. Ezek a támadások úgy működnek, hogy az áldozatokat egy hamis bejelentkezési oldalra irányítják, amely a Microsoft 365-öt utánozza, és ráveszi őket a hitelesítő adatok megadására. Az AiTM kiszolgáló proxyként működik, és továbbítja ezeket a hitelesítő adatokat a Microsoft legitim szolgáltatásához a hitelesítési folyamat befejezéséhez, majd elfogja a cookie-t, amikor visszaküldi a célpont böngészőjének.
Ezt a cookie-t a kiberszereplők ezután közvetlen hozzáférésre használhatják az áldozat fiókjához, még akkor is, ha az MFA-védelemmel van ellátva, és a kiberszereplőnek egyáltalán nincs szüksége a hitelesítő adatokra. A Trustwave jelentése szerint a Rockstar 2FA valójában a DadSec és a Phoenix adathalász-készletek frissített változata, amelyek 2023 elején, illetve végén terjedtek el. A kutatók szerint a Rockstar 2FA 2024 augusztusa óta jelentős népszerűségre tett szert a kiberbűnözői közösségben, és 200 dollárért árulják két hétre, illetve 180 dollárért az API-hozzáférés megújításáért. A szolgáltatást többek között a Telegramon népszerűsítik.
A szolgáltatás 2024 májusa óta több mint 5000 adathalász domain-t hozott létre, megkönnyítve a különböző adathalász műveleteket. A kutatók szerint az általuk megfigyelt kapcsolódó adathalászkampányok visszaélnek a legitim e-mail marketing platformokkal vagy kompromittált fiókokkal, hogy rosszindulatú üzeneteket juttassanak el a célpontokhoz.Az üzenetek különféle csalikat használnak, többek között dokumentummegosztási értesítéseket, informatikai osztályok értesítéseit, jelszó-visszaállítási figyelmeztetéseket és bérszámfejtéssel kapcsolatos üzeneteket. A Trustwave szerint ezek az üzenetek számos blokkoláselkerülési módszert használnak, beleértve a QR-kódokat, a legitim rövidítési szolgáltatások linkjeinek beillesztését és a PDF-mellékleteket.
