Sikkerhetsblogg
Phishing-as-a-Service: «Rockstar 2FA» retter seg mot Microsoft 365-brukere i AiTM-angrep.
Phishing-as-a-Service
Flere kilder varsler om ondsinnede e-postkampanjer som utnytter et phishing-as-a-service (PhaaS)-verktøy kalt Rockstar 2FA, med mål om å stjele Microsoft 365-kontoinformasjon. Angrepene benytter en teknikk kjent som adversary-in-the-middle (AitM), som gjør det mulig for angripere å fange opp både brukerens identitetsinformasjon og sesjonskapsler. Dette innebærer at selv brukere som har aktivert multifaktorautentisering (MFA), kan være sårbare for slike angrep.
Rockstar 2FA anses som en videreutvikling av phishing-verktøysettet DadSec, også kjent som Phoenix. Microsoft overvåker utviklerne og distributørene av DadSec PhaaS-plattformen, som de har gitt kodenavnet Storm-1575.
Rockstar 2FA
Phishing-verktøysettet markedsføres gjennom tjenester som ICQ, Telegram og Mail.ru. Det tilbys som en abonnementsmodell til en pris av $200 for to uker eller $350 for en måned. Denne modellen senker terskelen for cyberkriminelle med begrenset teknisk ekspertise, og gir dem muligheten til å gjennomføre storskala kampanjer.
- Omgåelse av multifaktorautentisering (MFA)
- Høsting av 2FA-kapsler
- Beskyttelse mot dynamisk analyse
- Innloggingssider som etterligner populære tjenester (Microsoft 365)
- Fullt ikke-detekterbare (FUD) lenker
- Integrasjon med Telegram-bot
Verktøyet markedsføres med et «moderne, brukervennlig administrasjonspanel» som gir brukerne mulighet til å administrere phishing-kampanjene sine effektivt. Panelet gjør det enkelt å spore kampanjestatus, generere skreddersydde URL-er og vedlegg, samt tilpasse temaene på de opprettede lenkene for å øke effektiviteten i angrepene.
Metoder for angrep
De observerte e-postkampanjene benytter ulike tilgangsvektorer, som URL-er, QR-koder og e-postvedlegg, ofte sendt fra tidligere kompromitterte kontoer. Angriperne bruker sosial manipulering, som meldinger om filutveksling eller forespørsler om e-signaturer, for å lure mottakerne. Kampanjene drar også nytte av legitime omdirigeringstjenester, som forkortede URL-er, åpne omdirigeringer og URL-beskyttelsestjenester, for å omgå sikkerhetstiltak. Verktøyet inkluderer i tillegg flere avanserte funksjoner som gjør det vanskelig for automatiserte systemer å analysere phishing-lenkene.
Misbruk av legitime plattformer
Det er blitt observert at plattformen utnytter legitime tjenester som Atlassian Confluence, Google Docs Viewer, LiveAgent, samt Microsoft OneDrive, OneNote og Dynamics 365 Customer Voice i forbindelse med phishing-lenkene. Dette viser hvordan trusselaktører utnytter den tilliten disse velkjente plattformene har hos brukerne.
Phishing-sidene er designet for å etterligne de faktiske innloggingssidene til de målrettede merkevarene, til tross for flere lag med obfuskerte HTML-koder for å skjule de ondsinnede formålene. All informasjon som brukeren legger inn på phishing-siden, blir umiddelbart sendt til AiTM-serveren. Den stjålne legitimasjonen benyttes deretter for å hente sesjonskapselen til de målrettede kontoene, og gir angriperne full tilgang til brukerens konto uten behov for ytterligere autentisering.