Ha surgido una nueva plataforma de phishing como servicio (PhaaS) llamada “Rockstar 2FA”, que facilita ataques de adversario en el medio (AiTM) a gran escala para robar credenciales de Microsoft 365.
Al igual que otras plataformas AiTM, Rockstar 2FA permite a los atacantes eludir las protecciones de autenticación multifactor (MFA) en cuentas específicas al interceptar cookies de sesión válidas.
Estos ataques funcionan dirigiendo a las víctimas a una página de inicio de sesión falsa que imita a Microsoft 365 y engañándolas para que ingresen sus credenciales.
El servidor AiTM actúa como un proxy, pasando estas credenciales al servicio legítimo de Microsoft para completar el proceso de autenticación y luego captura la cookie cuando se envía de regreso al navegador del objetivo.
Luego, los actores maliciosos pueden utilizar esta cookie para acceder directamente a la cuenta de la víctima, incluso si está protegida por MFA, ya que el actor malicioso no necesita las credenciales en absoluto.
Fuente: Onda de confianza
El ascenso de Rockstar 2FA
Ola de confianza informes que Rockstar 2FA es en realidad una versión actualizada de los kits de phishing DadSec y Phoenix, que ganaron fuerza a principios y finales de 2023, respectivamente.
Los investigadores dicen que Rockstar 2FA ha ganado popularidad en la comunidad de delitos cibernéticos desde agosto de 2024, vendiéndose por 200 dólares por dos semanas o 180 dólares por renovar el acceso a la API.
Fuente: Onda de confianza
El servicio se promociona en Telegram, entre otros, y ofrece una larga lista de características como:
- Soporte para Microsoft 365, Hotmail, Godaddy, SSO
- Código fuente aleatorio y enlaces para evadir la detección.
- Integración de Cloudflare Turnstile Captcha para la detección de víctimas
- Archivos adjuntos y enlaces FUD automatizados
- Panel de administración fácil de usar con registros en tiempo real y opciones de respaldo
- Múltiples temas de página de inicio de sesión con personalización automática de la organización (logotipo, fondo)
El servicio ha creado más de 5.000 dominios de phishing desde mayo de 2024, facilitando diversas operaciones de phishing.
Los investigadores dicen que las campañas de phishing que observaron abusan de plataformas legítimas de marketing por correo electrónico o de cuentas comprometidas para enviar mensajes maliciosos a los objetivos.
Los mensajes utilizan una variedad de señuelos, incluidas notificaciones de intercambio de documentos, avisos del departamento de TI, alertas de restablecimiento de contraseña y mensajes relacionados con la nómina.
Trustwave afirma que estos mensajes utilizan una variedad de métodos de evasión de bloqueo, incluidos códigos QR, inclusión de enlaces de servicios de acortamiento legítimos y archivos adjuntos en PDF.
Fuente: Onda de confianza
Se utiliza un desafío de torniquete de Cloudflare para filtrar bots, mientras que el ataque probablemente también incluya comprobaciones de IP antes de que los objetivos válidos se dirijan a una página de phishing de inicio de sesión de Microsoft 365.
Fuente: Turstwave
Si el visitante es considerado un robot, un investigador de seguridad o un objetivo fuera de su alcance en general, se le redirige a una página de señuelos inofensiva con temática de automóviles.
El JavaScript de la página de destino descifra y recupera la página de phishing o el señuelo con temática de automóvil, según la evaluación del visitante por parte del servidor AiTM.
Fuente: Onda de confianza
El surgimiento y proliferación de Rockstar 2FA refleja la persistencia de los operadores de phishing, que continúan ofreciendo servicios ilícitos a pesar de las importantes operaciones policiales que recientemente derribaron una de las plataformas PhaaS más grandes y arrestaron a sus operadores.
Mientras estas herramientas básicas sigan siendo accesibles para los ciberdelincuentes a bajo costo, el riesgo de operaciones efectivas de phishing a gran escala seguirá siendo significativo.