Rockstar 2FA: фишинг-сервис по подписке обходит двухфакторную защиту Microsoft 365

Исследователи безопасности зафиксировали резкий рост фишинговых атак типа adversary-in-the-middle (AiTM), связанных с набором инструментов «Rockstar 2FA». Злоумышленники заманивают пользователей на поддельные страницы входа, максимально похожие на настоящий портал Microsoft 365 (O365), с единственной целью — украсть учётные данные.

Всплеск активности с августа 2024 года

По данным экспертов, объём атак с использованием Rockstar 2FA значительно вырос с августа 2024 года, а основной мишенью остаются аккаунты Microsoft. Отличительная черта кампании — использование автомобильной тематики: с мая 2024 года зафиксировано более 5000 переходов на домены с «автомобильными» названиями, связанные с этой инфраструктурой.

Фишинг как услуга: что предлагает набор

Rockstar 2FA — это обновлённая версия набора DadSec/Phoenix, которая распространяется по модели PaaS (Phishing-as-a-Service), то есть доступна любому желающему за подписку. Заявленный функционал включает:

  • обход двухфакторной аутентификации (2FA);
  • перехват cookie-файлов сессии после прохождения 2FA;
  • защиту от ботов;
  • несколько шаблонов страниц входа;
  • рандомизацию исходного кода и вложений;
  • полностью необнаруживаемые (FUD) ссылки;
  • интеграцию с Telegram-ботом;
  • удобную панель администратора.

Подписка на две недели стоит от 200 долларов США — цена, доступная практически любому начинающему злоумышленнику.

Как работает AiTM-атака

«Эта кампания использует AiTM-атаку, позволяющую злоумышленникам перехватывать учётные данные и сессионные cookie пользователей, а значит, под угрозой оказываются даже те, у кого включена многофакторная аутентификация», — говорится в исследовании компании Trustwave.

Письма рассылаются через скомпрометированные учётные записи и легитимные сервисы, что снижает вероятность срабатывания антиспам-фильтров, поскольку сообщения приходят из доверенных источников. Среди используемых предлогов — уведомления о файлах и документах, сообщения от сервисов электронной подписи, письма от HR и бухгалтерии, запросы MFA, уведомления от ИТ-отдела, оповещения о паролях и аккаунтах, а также сообщения о голосовой почте.

Маскировка и защита от анализа

Чтобы обойти антиспам-системы, операторы используют обфускацию, FUD-ссылки и QR-коды. Для затруднения автоматического анализа поддельных страниц применяется Cloudflare Turnstile — бесплатный сервис защиты сайтов от нежелательных посетителей. В ходе расследования исследователи также обнаружили домены, размещающие на AiTM-сервере отвлекающий («декой») контент: при обращении к ним показывается безобидная страница-заглушка.

Почему это опасно

Массовые фишинговые атаки вроде Rockstar 2FA популярны именно из-за низкой стоимости и простоты запуска. Используя технику AiTM, злоумышленники обходят дополнительные уровни защиты, включая MFA, что повышает риск последующих атак — захвата учётных записей и компрометации деловой переписки (BEC). Специалисты по кибербезопасности предупреждают: пока кампании на базе Rockstar 2FA продолжаются, операторы сервиса, скорее всего, будут и дальше дорабатывать набор или создавать новые, ещё более изощрённые фишинговые инструменты.

Источник: Cybersecurity News.