Исследователи безопасности зафиксировали резкий рост фишинговых атак типа adversary-in-the-middle (AiTM), связанных с набором инструментов «Rockstar 2FA». Злоумышленники заманивают пользователей на поддельные страницы входа, максимально похожие на настоящий портал Microsoft 365 (O365), с единственной целью — украсть учётные данные.
Всплеск активности с августа 2024 года
По данным экспертов, объём атак с использованием Rockstar 2FA значительно вырос с августа 2024 года, а основной мишенью остаются аккаунты Microsoft. Отличительная черта кампании — использование автомобильной тематики: с мая 2024 года зафиксировано более 5000 переходов на домены с «автомобильными» названиями, связанные с этой инфраструктурой.
Фишинг как услуга: что предлагает набор
Rockstar 2FA — это обновлённая версия набора DadSec/Phoenix, которая распространяется по модели PaaS (Phishing-as-a-Service), то есть доступна любому желающему за подписку. Заявленный функционал включает:
- обход двухфакторной аутентификации (2FA);
- перехват cookie-файлов сессии после прохождения 2FA;
- защиту от ботов;
- несколько шаблонов страниц входа;
- рандомизацию исходного кода и вложений;
- полностью необнаруживаемые (FUD) ссылки;
- интеграцию с Telegram-ботом;
- удобную панель администратора.
Подписка на две недели стоит от 200 долларов США — цена, доступная практически любому начинающему злоумышленнику.
Как работает AiTM-атака
«Эта кампания использует AiTM-атаку, позволяющую злоумышленникам перехватывать учётные данные и сессионные cookie пользователей, а значит, под угрозой оказываются даже те, у кого включена многофакторная аутентификация», — говорится в исследовании компании Trustwave.
Письма рассылаются через скомпрометированные учётные записи и легитимные сервисы, что снижает вероятность срабатывания антиспам-фильтров, поскольку сообщения приходят из доверенных источников. Среди используемых предлогов — уведомления о файлах и документах, сообщения от сервисов электронной подписи, письма от HR и бухгалтерии, запросы MFA, уведомления от ИТ-отдела, оповещения о паролях и аккаунтах, а также сообщения о голосовой почте.
Маскировка и защита от анализа
Чтобы обойти антиспам-системы, операторы используют обфускацию, FUD-ссылки и QR-коды. Для затруднения автоматического анализа поддельных страниц применяется Cloudflare Turnstile — бесплатный сервис защиты сайтов от нежелательных посетителей. В ходе расследования исследователи также обнаружили домены, размещающие на AiTM-сервере отвлекающий («декой») контент: при обращении к ним показывается безобидная страница-заглушка.
Почему это опасно
Массовые фишинговые атаки вроде Rockstar 2FA популярны именно из-за низкой стоимости и простоты запуска. Используя технику AiTM, злоумышленники обходят дополнительные уровни защиты, включая MFA, что повышает риск последующих атак — захвата учётных записей и компрометации деловой переписки (BEC). Специалисты по кибербезопасности предупреждают: пока кампании на базе Rockstar 2FA продолжаются, операторы сервиса, скорее всего, будут и дальше дорабатывать набор или создавать новые, ещё более изощрённые фишинговые инструменты.
Источник: Cybersecurity News.