Uma nova plataforma de phishing como serviço (PhaaS) chamada 'Rockstar 2FA' surgiu, possibilitando ataques de adversários no meio (AiTM) em larga escala para roubar credenciais do Microsoft 365.
Como outras plataformas AiTM, Rockstar 2FA permite que atacantes contornem as proteções de autenticação multifator (MFA) em contas alvo interceptando cookies de sessão válidos.
Esses ataques funcionam direcionando as vítimas para uma página de login falsa que imita a Microsoft 365 e enganando-as para inserirem suas credenciais.
O servidor AiTM atua como um proxy, encaminhando essas credenciais para o serviço legítimo da Microsoft para completar o processo de autenticação e, em seguida, captura o cookie quando ele é enviado de volta ao navegador do alvo.
Esse cookie pode então ser utilizado pelos atores de ameaças para acessar diretamente a conta da vítima, mesmo que seja protegida por MFA, sem a necessidade das credenciais.
A Trustwave relata que o Rockstar 2FA é na verdade uma versão atualizada dos kits de phishing DadSec e Phoenix, que ganharam tração no início e no final de 2023, respectivamente.
Os pesquisadores dizem que o Rockstar 2FA ganhou popularidade significativa na comunidade de cibercrimes desde agosto de 2024, sendo vendido por $200 por duas semanas ou $180 para renovação de acesso à API.
O serviço é promovido no Telegram, entre outros lugares, ostentando uma longa lista de recursos como:
Suporte para Microsoft 365, Hotmail, Godaddy, SSO
Código fonte e links randomizados para evitar detecção
Integração do Captcha Cloudflare Turnstile para triagem de vítimas
Anexos e links FUD automatizados
Painel de administração amigável com logs em tempo real e opções de backup
Vários temas de página de login com marcação automática da organização (logo, fundo)
O serviço configurou mais de 5.000 domínios de phishing desde maio de 2024, facilitando várias operações de phishing.
Os pesquisadores dizem que as campanhas de phishing relacionadas observadas abusam de plataformas legítimas de marketing por e-mail ou contas comprometidas para disseminar mensagens maliciosas para os alvos.
As mensagens usam uma variedade de iscas, incluindo notificações de compartilhamento de documentos, avisos do departamento de TI, alertas de redefinição de senha e mensagens relacionadas a folha de pagamento.
A Trustwave diz que essas mensagens utilizam uma variedade de métodos de evasão de bloqueios, incluindo códigos QR, inclusão de links de serviços legítimos de encurtamento e anexos PDF.
Um desafio de turno do Cloudflare é usado para filtrar bots, enquanto o ataque também provavelmente inclui verificações de IP antes de direcionar alvos válidos para uma página de phishing de login do Microsoft 365.
Se o visitante é considerado um bot, pesquisador de segurança ou um alvo fora do escopo em geral, eles são redirecionados para uma página de decoy inofensiva com tema de carro.
O JavaScript na página de destino decripta e recupera a página de phishing ou o decoy com tema de carro baseado na avaliação do visitante pelo servidor AiTM.
O surgimento e proliferação do Rockstar 2FA refletem a persistência dos operadores de phishing, que continuam a oferecer serviços ilícitos apesar de operações significativas de aplicação da lei que recentemente desmontaram uma das maiores plataformas de PhaaS e prenderam seus operadores.
Enquanto essas ferramentas comoditárias continuarem acessíveis a cibercriminosos a um custo baixo, o risco de operações de phishing em larga escala e eficazes permanece significativo.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...