Исследователи в области кибербезопасности предупреждают о новых фишинговых атаках, организованных с использованием инструмента Phishing-as-a-Service (PhaaS) под названием Rockstar 2FA. Цель таких атак – кража учётных данных пользователей Microsoft 365, включая сессионные куки.
В недавнем отчёте компании Trustwave исследователи отметили, что эта операция применяет метод “противник посередине” (AiTM), позволяющий перехватывать учётные данные и сессионные куки даже у пользователей с включённой многофакторной аутентификацией (MFA).
Rockstar 2FA считается обновлённой версией набора DadSec (также известного как Phoenix). Microsoft отслеживает разработчиков и распространителей этой платформы под кодовым названием Storm-1575. Набор продаётся по подписке: $200 за две недели или $350 за месяц, предоставляя киберпреступникам без продвинутых технических навыков возможность проводить масштабные атаки.
Среди ключевых возможностей Rockstar 2FA заявлены обход двухфакторной аутентификации, сбор куки, антибот-защита, темы для страниц входа, имитирующие популярные сервисы, и интеграция с Telegram-ботами. Также платформа предлагает удобную административную панель для управления вредоносными кампаниями и персонализации ссылок.
Киберпреступники используют различные методы начального доступа, включая URL, QR-коды и вложенные документы. Часто такие сообщения отправляются с уже скомпрометированных аккаунтов или через спам-инструменты. Для обхода антиспам-фильтров применяются легитимные сервисы сокращения ссылок, редиректы и защита через Cloudflare Turnstile.
Trustwave отмечает, что злоумышленники размещают фишинговые ссылки на платформах, вызывающих доверие, таких как Google Docs Viewer, Atlassian Confluence и Microsoft OneDrive. Это усиливает эффективность атак, так как пользователи реже сомневаются в легитимности таких ссылок.
Данные, введённые жертвами на поддельных страницах, мгновенно отправляются на сервер злоумышленников. Затем украденные учётные данные используются для получения сессионных куки, позволяя получить полный доступ к аккаунту в обход многофакторной аутентификации.
Развитие киберпреступности по сервисной модели демонстрирует, как технологическая доступность и простота использования вредоносных инструментов может представлять серьёзную угрозу даже в руках малоопытных хакеров. Чтобы избежать подобных угроз, от пользователей требуется постоянная бдительность при работе с любыми онлайн-ресурсами, даже вызывающими доверие.