Atsirado nauja sukčiavimo kaip paslaugos (PhaaS) platforma, pavadinta „Rockstar 2FA“, kuri palengvina didelio masto priešo viduryje (AiTM) atakas siekiant pavogti „Microsoft 365“ kredencialus.
Kaip ir kitos AiTM platformos, „Rockstar 2FA“ leidžia užpuolikams apeiti daugiafaktorinio autentifikavimo (MFA) apsaugą tikslinėse paskyrose perimant galiojančius seanso slapukus.
Šios atakos nukreipiamos į netikrą prisijungimo puslapį, imituojantį „Microsoft 365“, ir apgaudinėjamos įvesti savo kredencialus.
AiTM serveris veikia kaip tarpinis serveris, persiunčiantis tuos kredencialus į teisėtą „Microsoft“ paslaugą, kad užbaigtų autentifikavimo procesą, o tada užfiksuoja slapuką, kai jis siunčiamas atgal į tikslinės svetainės naršyklę.
Tada šį slapuką gali naudoti grėsmės veikėjai, norėdami tiesiogiai pasiekti aukos paskyrą, net jei ji yra apsaugota MFA, o grėsmės veikėjui iš viso nereikia kredencialų.
Šaltinis: Trustwave
„Rockstar 2FA“ iškilimas
„Trustwave“ praneša, kad „Rockstar 2FA“ iš tikrųjų yra atnaujinta sukčiavimo rinkinių „DadSec“ ir „Phoenix“ versija, kuri sulaukė traukos atitinkamai 2023 m. pradžioje ir pabaigoje.
Tyrėjai teigia, kad Rockstar 2FA įgijo didelį populiarumą elektroninių nusikaltimų bendruomenėje nuo 2024 m. rugpjūčio mėn., Parduodama už 200 USD už dvi savaites arba už 180 USD už API prieigos atnaujinimą.
Šaltinis: Trustwave
Paslauga reklamuojama Telegramoje, be kitų vietų, turinti ilgą funkcijų sąrašą, pavyzdžiui:
-
- „Microsoft 365“, „Hotmail“, „Godaddy“, SSO palaikymas
-
- Atsitiktinis šaltinio kodas ir nuorodos, padedančios išvengti aptikimo
-
- „Cloudflare Turnstile Captcha“ integracija aukų patikrinimui
-
- Automatizuoti FUD priedai ir nuorodos
-
- Patogus administratoriaus skydelis su realaus laiko žurnalais ir atsarginėmis parinktimis
-
- Kelios prisijungimo puslapių temos su automatiniu organizacijos prekės ženklo kūrimu (logotipas, fonas)
Nuo 2024 m. gegužės mėn. paslauga sukūrė daugiau nei 5 000 sukčiavimo domenų, palengvinančių įvairias sukčiavimo operacijas.
Tyrėjai teigia, kad susijusiose sukčiavimo kampanijose, kurias jie stebėjo, piktnaudžiaujama teisėtomis el. pašto rinkodaros platformomis arba buvo pažeistos paskyros, siekiant platinti kenkėjiškas žinutes.
Pranešimuose naudojami įvairūs viliokliai, įskaitant pranešimus apie dalijimąsi dokumentais, IT skyriaus pranešimus, slaptažodžio nustatymo iš naujo įspėjimus ir su darbo užmokesčiu susijusius pranešimus.
„Trustwave“ teigia, kad šiuose pranešimuose naudojami įvairūs blokų vengimo būdai, įskaitant QR kodus, nuorodų iš teisėtų sutrumpinimo paslaugų įtraukimą ir PDF priedus.
Šaltinis: Trustwave
„Cloudflare“ turniketo iššūkis naudojamas robotams išfiltruoti, o ataka taip pat tikriausiai apima IP patikrinimus prieš nukreipiant tinkamus taikinius į „Microsoft 365“ prisijungimo sukčiavimo puslapį.
Šaltinis: Turstwave
Jei lankytojas laikomas robotu, saugumo tyrinėtoju ar apskritai nepatenkančiu į taikymo sritį, jis nukreipiamas į nekenksmingą automobilių tematikos jauko puslapį.
Nukreipimo puslapyje esanti „JavaScript“ iššifruoja ir nuskaito sukčiavimo puslapį arba automobilio temą apgaulę pagal AiTM serverio lankytojo įvertinimą.
Šaltinis: Trustwave
„Rockstar 2FA“ atsiradimas ir paplitimas atspindi sukčiavimo operatorių, kurie ir toliau siūlo neteisėtas paslaugas, atkaklumą, nepaisant didelių teisėsaugos operacijų, kurios pastaruoju metu panaikino vieną didžiausių „PhaaS“ platformų ir suėmė jos operatorius.
Kol kibernetiniams nusikaltėliams šios prekinės priemonės ir toliau bus prieinamos mažomis sąnaudomis, didelio masto veiksmingų sukčiavimo operacijų rizika išlieka didelė.
