Przerwa techniczna w Rockstar2FA otwiera drogę dla nowej usługi phishingowej FlowerStorm
Świat cyberbezpieczeństwa staje w obliczu kolejnego wyzwania. Niedawne zakłócenie działania platformy phishing-as-a-service (PhaaS) o nazwie Rockstar2FA przyczyniło się do gwałtownego wzrostu aktywności innej, rozwijającej się usługi o nazwie FlowerStorm.
Według raportu opublikowanego przez Sophos, infrastruktura Rockstar2FA uległa częściowemu załamaniu. Usługa straciła dostępność, a powiązane z nią strony internetowe stały się nieosiągalne. Co ciekawe, wydarzenie to nie wydaje się być wynikiem działań służb zajmujących się likwidacją takich narzędzi, lecz efektu problemów technicznych na zapleczu systemu.
Nowe wyzwanie w świecie phishingu
Rockstar2FA zostało wcześniej opisane przez analityków z Trustwave jako rozbudowany zestaw narzędzi PhaaS, który umożliwia cyberprzestępcom przeprowadzanie zaawansowanych ataków phishingowych. Narzędzie to pozwalało na zdobywanie danych uwierzytelniających do kont Microsoft 365, a także przechwytywanie plików cookie sesji w celu obchodzenia zabezpieczeń wieloskładnikowego uwierzytelniania (MFA).
System ten jest oceniany jako nowsza wersja innego zestawu narzędzi phishingowych znanego jako DadSec, monitorowanego przez firmę Microsoft pod nazwą Storm-1575. Większość stron phishingowych była hostowana na domenach takich jak .com, .de, .ru czy .moscow. Co interesujące, wykorzystanie domen .ru spadło w ostatnim czasie, co może wskazywać na dostosowanie strategii cyberprzestępców.
Techniczne problemy Rockstar2FA i szybki rozwój FlowerStorm
Problemy techniczne Rockstar2FA pojawiły się 11 listopada 2024 roku. W tym czasie przekierowania na strony pośrednie zaczęły generować błędy czasowe serwerów Cloudflare, a fałszywe strony logowania przestały działać poprawnie. Choć przyczyna tej awarii pozostaje niejasna, luka w rynku phishingowym została błyskawicznie wypełniona przez FlowerStorm, które działa od co najmniej czerwca 2024 roku.
Eksperci Sophos zauważają podobieństwo między Rockstar2FA a FlowerStorm w formacie stron phishingowych oraz metodach wykorzystywanych do łączenia się z zapleczem serwerowym w celu zbierania danych uwierzytelniających. Oba systemy korzystają również z usług takich jak Cloudflare Turnstile w celu odsiewania ruchu generowanego przez boty od realnych użytkowników. Istnieje podejrzenie, że między obiema usługami może istnieć wspólny rodowód.
Strategiczny ruch czy przypadkowa awaria?
Nie jest do końca jasne, czy zakłócenie działania Rockstar2FA było wynikiem strategicznej zmiany, przetasowań w zespołach odpowiedzialnych za te operacje, czy może celowym działaniem mającym na celu oddzielenie obu operacji. Obecnie brak twardych dowodów na bezpośredni związek między usługami Rockstar2FA a FlowerStorm.
Kraje i sektory najbardziej narażone na ataki
FlowerStorm najczęściej atakuje użytkowników z krajów takich jak Stany Zjednoczone, Kanada, Wielka Brytania, Australia, Włochy, Szwajcaria, Portoryko, Niemcy, Singapur i Indie. Najbardziej narażonym sektorem jest przemysł usługowy, w szczególności firmy zajmujące się inżynierią, budownictwem, nieruchomościami, usługami prawnymi oraz doradztwem biznesowym.
Trend w cyberprzestępczości
Wnioski płynące z tych obserwacji jasno wskazują na rosnącą tendencję w cyberprzestępczości – wykorzystanie narzędzi PhaaS oraz usług cyberprzestępczych umożliwia atakującym przeprowadzanie skutecznych kampanii phishingowych na szeroką skalę, nawet przy minimalnym poziomie wiedzy technicznej. Zjawisko to wciąż przybiera na sile, stanowiąc poważne zagrożenie dla użytkowników indywidualnych oraz organizacji na całym świecie.
