Het ineenstorten van Rockstar2FA stimuleert de uitbreiding van FlowerStorm Phishing-as-a-Service

Een onderbreking van de aangeroepen phishing-as-a-service (PhaaS)-toolkit Rockstar2FA heeft geleid tot een snelle toename van de activiteit van een ander opkomend aanbod genaamd BloemenStorm.

“Het lijkt erop dat de (Rockstar2FA) groep die de dienst beheert, op zijn minst een gedeeltelijke ineenstorting van zijn infrastructuur heeft ervaren, waarbij pagina’s die aan de dienst zijn gekoppeld niet langer bereikbaar zijn”, zei Sophos in een nieuw rapport dat vorige week werd gepubliceerd. “Dit lijkt niet te wijten te zijn aan een takedown-actie, maar aan een technische storing aan de backend van de service.”

Rockstar2FA werd eind vorige maand voor het eerst gedocumenteerd door Trustwave als een PhaaS-service waarmee criminele actoren phishing-aanvallen kunnen lanceren die in staat zijn Microsoft 365-accountreferenties en sessiecookies te verzamelen, waardoor de bescherming tegen multi-factor authenticatie (MFA) wordt omzeild.

De service wordt beoordeeld als een bijgewerkte versie van de DadSec-phishingkit, die door Microsoft wordt gevolgd onder de naam Storm-1575. Het merendeel van de phishingpagina’s blijkt te worden gehost op .com, .de, .ru. en .moscow-topniveaudomeinen, hoewel wordt aangenomen dat het gebruik van .ru-domeinen in de loop van de tijd is afgenomen.

FlowerStorm Phishing-as-a-Service

Rockstar2FA lijkt op 11 november 2024 een technische onderbreking te hebben gehad, toen omleidingen naar tussenliggende lokpagina’s Cloudflare time-outfouten genereerden en de vervalste inlogpagina’s niet konden worden geladen.

Hoewel het niet duidelijk is wat de verstoring heeft veroorzaakt, heeft de leegte die door de PhaaS-toolkit is achtergelaten geresulteerd in een golf van phishing-activiteiten in verband met FlowerStorm, die al sinds juni 2024 actief is.

FlowerStorm Phishing-as-a-Service

Sophos zei dat beide diensten overeenkomsten delen als het gaat om het formaat van de phishing-portaalpagina’s en de methoden die worden gebruikt om verbinding te maken met de backend-servers voor het verzamelen van inloggegevens, waardoor de mogelijkheid van een gemeenschappelijke afkomst wordt vergroot. Ze maken ook misbruik van Cloudflare Turnstile om ervoor te zorgen dat de inkomende paginaverzoeken niet van bots komen.

Er wordt vermoed dat de verstoring van 11 november een strategische spil in een van de groepen vertegenwoordigt, een verandering in het personeel dat hen leidt, of een opzettelijke poging om de twee operaties te ontkoppelen. Er is in dit stadium geen definitief bewijs dat de twee diensten met elkaar in verband staan.

De landen die FlowerStorm het vaakst targeten zijn de Verenigde Staten, Canada, het Verenigd Koninkrijk, Australiƫ, Italiƫ, Zwitserland, Puerto Rico, Duitsland, Singapore en India.

“De meest gerichte sector is de dienstensector, met bijzondere aandacht voor bedrijven die engineering, bouw, onroerend goed, juridische diensten en advies leveren”, aldus Sophos.

De bevindingen illustreren in ieder geval opnieuw de aanhoudende trend van aanvallers die cybercriminele diensten en standaardtools gebruiken om cyberaanvallen op grote schaal uit te voeren, zelfs zonder dat daarvoor veel technische expertise nodig is.

Thijs Van der Does