Phishing-as-a-Service “Rockstar 2FA” richt zich op Microsoft 365-gebruikers met AiTM-aanvallen

Cybersecurity-onderzoekers waarschuwen voor kwaadaardige e-mailcampagnes die gebruik maken van een phishing-as-a-service (PhaaS) toolkit genaamd Rockstar2FA met als doel de inloggegevens van Microsoft 365-accounts te stelen.

“Deze campagne maakt gebruik van een AitM-aanval (adversary-in-the-middle), waardoor aanvallers gebruikersgegevens en sessiecookies kunnen onderscheppen, wat betekent dat zelfs gebruikers met ingeschakelde multi-factor authenticatie (MFA) nog steeds kwetsbaar kunnen zijn”, aldus Trustwave-onderzoekers Diana. Solomon en John Kevin Adriano zeiden.

Rockstar 2FA wordt beschouwd als een bijgewerkte versie van de phishing-kit DadSec (ook bekend als Phoenix). Microsoft volgt de ontwikkelaars en distributeurs van het Dadsec PhaaS-platform onder de naam Storm-1575.

Net als zijn voorgangers wordt de phishing-kit geadverteerd via diensten als ICQ, Telegram en Mail.ru onder een abonnementsmodel van $200 voor twee weken (of $350 voor een maand), waardoor cybercriminelen met weinig tot geen technische expertise toegang kunnen krijgen tot de phishing-kit. campagnes op grote schaal.

Enkele van de gepromote functies van Rockstar 2FA zijn onder meer het omzeilen van tweefactorauthenticatie (2FA), het verzamelen van 2FA-cookies, antibotbescherming, inlogpaginathema’s die populaire services nabootsen, volledig niet-detecteerbare (FUD) links en Telegram-botintegratie.

Het beweert ook een ‘modern, gebruiksvriendelijk beheerderspaneel’ te hebben waarmee klanten de status van hun phishing-campagnes kunnen volgen, URL’s en bijlagen kunnen genereren en zelfs thema’s kunnen personaliseren die op de gemaakte links worden toegepast.

E-mailcampagnes die door Trustwave zijn opgemerkt, maken gebruik van diverse initiële toegangsvectoren, zoals URL’s, QR-codes en documentbijlagen, die zijn ingebed in berichten die worden verzonden vanaf gecompromitteerde accounts of spamtools. De e-mails maken gebruik van verschillende loksjablonen, variërend van meldingen over het delen van bestanden tot verzoeken om elektronische handtekeningen.

Naast het gebruik van legitieme link-redirectors (bijvoorbeeld verkorte URL’s, open redirects, URL-beveiligingsservices of URL-herschrijfservices) als een mechanisme om antispamdetectie te omzeilen, bevat de kit antibotcontroles met behulp van Cloudflare Turnstile in een poging om geautomatiseerde analyse van de AitM-phishing-aanvallen te ontmoedigen. pagina’s.

Phishing-as-a-Service

Trustwave zei dat het heeft waargenomen dat het platform legitieme diensten zoals Atlassian Confluence, Google Docs Viewer, LiveAgent en Microsoft OneDrive, OneNote en Dynamics 365 Customer Voice gebruikt om de phishing-links te hosten, waarbij wordt benadrukt dat bedreigingsactoren misbruik maken van het vertrouwen dat daarmee gepaard gaat. platforms.

“Het ontwerp van de phishingpagina lijkt sterk op de inlogpagina van het merk dat wordt nagebootst, ondanks talloze verduisteringen die op de HTML-code zijn toegepast”, aldus de onderzoekers. “Alle gegevens die de gebruiker op de phishing-pagina verstrekt, worden onmiddellijk naar de AiTM-server verzonden. De geëxfiltreerde inloggegevens worden vervolgens gebruikt om de sessiecookie van het doelaccount op te halen.”

De onthulling komt op het moment dat Malwarebytes een phishing-campagne met de naam Beluga heeft beschreven, waarbij gebruik wordt gemaakt van .HTM-bijlagen om e-mailontvangers te misleiden zodat ze hun Microsoft OneDrive-inloggegevens invoeren op een nep-inlogformulier, die vervolgens worden geëxfiltreerd naar een Telegram-bot.

Phishing-links en misleidende gokspeladvertenties op sociale media blijken ook adware-apps zoals MobiDash te pushen, evenals frauduleuze financiële apps die persoonlijke gegevens en geld stelen onder het mom van veelbelovende snelle rendementen.

“De geadverteerde gokspellen worden gepresenteerd als legitieme kansen om geld te winnen, maar ze zijn zorgvuldig ontworpen om gebruikers te misleiden om geld te storten, wat ze misschien nooit meer zullen zien”, zei Group-IB CERT-analist Mahmoud Mosaad.

“Via deze frauduleuze apps en websites zouden oplichters tijdens het registratieproces zowel persoonlijke als financiële informatie van gebruikers stelen. Slachtoffers kunnen aanzienlijke financiële verliezen lijden, waarbij sommigen verliezen melden van meer dan 10.000 dollar.”

Thijs Van der Does