Експерти з кібербезпеки Trustwave попереджають про різке зростання кількості шкідливих кампаній електронної пошти, які використовують інструмент фішингу як послуги (PhaaS) Rockstar 2FA.
Цей набір інструментів створений для викрадення облікових даних Microsoft 365, обходячи захист багатофакторної автентифікації (MFA), навіть для користувачів із посиленими заходами безпеки. Про це повідомляє Redmond.
Ці фішингові кампанії спрямовані на такі популярні сервіси, як Microsoft OneDrive, OneNote, Dynamics 365 Customer Voice, Atlassian Confluence і Google Docs Viewer. Використовуючи ці платформи, зловмисники хостять шкідливі посилання або перенаправляють жертв на фішингові сторінки.
«Ця кампанія використовує атаку AiTM (Adversary-in-the-Middle), яка дає змогу зловмисникам перехоплювати облікові дані користувачів і сесійні файли cookie. Це означає, що навіть MFA не захищає повністю», — написали аналітики Trustwave Діана Соломон і Джон Кевін Адріано.
Зловмисники перенаправляють жертв на сторінки, що імітують вхід до Microsoft 365, збираючи облікові дані користувачів.
Rockstar 2FA є вдосконаленою версією попередніх фішингових наборів DadSec або Phoenix. Група Storm-1575, яка стоїть за інструментом, рекламує його на платформах, таких як ICQ, Telegram і Mail.ru, і пропонує за підпискою.
Особливості Rockstar 2FA
Rockstar 2FA має функції, які роблять його небезпечним навіть для досвідчених користувачів:
- Обхід MFA і збір сесійних файлів cookie.
- Інтеграція з Telegram для автоматизації кампаній.
- Фішингові посилання, що уникають виявлення завдяки використанню платформ, як-от Microsoft OneDrive, Google Docs Viewer і Atlassian Confluence.
- Антибот-захист за допомогою Cloudflare Turnstile для запобігання автоматичному аналізу сторінок.
Ці функції роблять Rockstar 2FA доступним навіть для користувачів із мінімальними технічними знаннями.
Приклад атаки
Trustwave наводить приклад фішингової атаки, спрямованої на користувачів Microsoft OneNote. Жертва отримує «офіційний» лист із вкладенням у вигляді зображення, яке містить посилання на документ OneNote, розміщений на домені 1drv[.]ms.
- Користувач переходить на сторінку OneNote під назвою Complete Document for Review.
- На сторінці зображено логотип Adobe PDF і посилання, яке веде на фішингову сторінку.
- Введені облікові дані перенаправляються на сервер AiTM, де зловмисники отримують доступ до облікових записів жертви.
Trustwave попереджає, що зростання платформ PhaaS, таких як Rockstar 2FA, свідчить про підвищення рівня складності й доступності фішингових атак. Ці інструменти сприяють масовій крадіжці облікових даних, які згодом можуть використовуватися для атак, як-от компрометація бізнес-електронної пошти (BEC).
Як захиститися
Експерти рекомендують організаціям:
- Посилити фільтрацію електронної пошти та системи виявлення загроз.
- Проводити навчання співробітників щодо виявлення фішингових атак і соціальної інженерії.
- Використовувати поведінкову аналітику для ідентифікації незвичайної активності в облікових записах.
Раніше ми повідомляли, що новий фішинговий метод використовує пошкоджені документи Word.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!
