Pesquisadores de cibersegurança estão alertando sobre campanhas de email maliciosas que exploram um kit PhaaS (phishing-as-a-service) chamado Rockstar 2FA, com o objetivo de roubar credenciais de contas do Microsoft 365.
“Essa campanha emprega um ataque AitM (adversary-in-the-middle), permitindo que os atacantes interceptem credenciais de usuários e cookies de sessão, o que significa que mesmo usuários com autenticação de múltiplos fatores (MFA) ativada ainda podem ser vulneráveis”, disseram os pesquisadores da Trustwave, Diana Solomon e John Kevin Adriano.
O Rockstar 2FA é avaliado como uma versão atualizada do kit de phishing DadSec (também conhecido como Phoenix).
A Microsoft está monitorando os desenvolvedores e distribuidores da plataforma PhaaS DadSec sob o codinome Storm-1575.
Como seus predecessores, o kit de phishing é anunciado via serviços como ICQ, Telegram e Mail.ru sob um modelo de assinatura por $200 por duas semanas (ou $350 por mês), permitindo a criminosos cibernéticos com pouca ou nenhuma experiência técnica realizar campanhas em larga escala.
Algumas das características promovidas do Rockstar 2FA incluem bypass de autenticação de dois fatores (2FA), coleta de cookies de 2FA, proteção antibot, temas de páginas de login imitando serviços populares, links completamente indetectáveis (FUD) e integração com bot do Telegram.
Também afirma ter um “painel administrativo moderno e amigável ao usuário” que permite aos clientes acompanhar o status de suas campanhas de phishing, gerar URLs e anexos, e até personalizar temas aplicados aos links criados.
Campanhas de email identificadas pela Trustwave exploram diversos vetores de acesso iniciais, como URLs, códigos QR e anexos de documentos, que são incorporados em mensagens enviadas de contas comprometidas ou ferramentas de spam.
Os emails utilizam vários modelos de isca, que vão desde notificações de compartilhamento de arquivos até solicitações de assinaturas eletrônicas.
Além de usar redirecionadores de links legítimos (por exemplo, URLs encurtados, redirecionamentos abertos, serviços de proteção de URL ou serviços de reescrita de URL) como mecanismo para contornar a detecção antispam, o kit incorpora verificações antibot usando o Cloudflare Turnstile na tentativa de dificultar a análise automatizada das páginas de phishing AitM.
A Trustwave disse que observou a plataforma utilizando serviços legítimos como Atlassian Confluence, Google Docs Viewer, LiveAgent e Microsoft OneDrive, OneNote e Dynamics 365 Customer Voice para hospedar os links de phishing, destacando que os atores de ameaças estão aproveitando a confiança que vem com tais plataformas.
“O design da página de phishing se assemelha de perto à página de login da marca imitada apesar de várias ofuscações aplicadas ao código HTML”, disseram os pesquisadores.
Todos os dados fornecidos pelo usuário na página de phishing são imediatamente enviados ao servidor AiTM.
As credenciais exfiltradas são então usadas para recuperar o cookie de sessão da conta alvo.
A divulgação ocorre ao mesmo tempo que a Malwarebytes detalhou uma campanha de phishing chamada Beluga que emprega anexos .HTM para enganar os destinatários do email a inserirem suas credenciais do Microsoft OneDrive em um formulário de login falso, que são então exfiltradas para um bot do Telegram.
Links de phishing e anúncios enganosos de jogos de apostas nas redes sociais também foram encontrados promovendo aplicativos adware como MobiDash, assim como aplicativos financeiros fraudulentos que roubam dados pessoais e dinheiro sob a promessa de retornos rápidos.
“Os jogos de apostas anunciados são apresentados como oportunidades legítimas de ganhar dinheiro, mas são cuidadosamente projetados para enganar os usuários a depositarem fundos, os quais eles podem nunca mais ver novamente”, disse o analista da Group-IB CERT, Mahmoud Mosaad.
Através desses aplicativos e sites fraudulentos, os golpistas roubam informações pessoais e financeiras dos usuários durante o processo de registro.
As vítimas podem sofrer perdas financeiras significativas, com alguns relatando perdas de mais de US$10.000.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...