Una dei più recenti toolkit di Phishing-as-a-Service (PhaaS) che sta guadagnando notorietà per la sua capacità di aggirare l’autenticazione a due fattori (2FA) e rubare credenziali sensibili, in particolare quelle degli account Microsoft 365 è “Rockstar 2FA“.
I ricercatori di Trustwave SpiderzLabs Diana Solomon e John Kevin Adriano hanno pubblicato un rapporto al riguardo.
“Abbiamo monitorato una campagna di phishing diffusa inviata tramite e-mail che ha mostrato un aumento significativo dell’attività nell’agosto 2024 e continua a essere prevalente al momento della scrittura.[…] Gli account utente Microsoft sono il bersaglio principale di questa campagna, poiché gli utenti target verranno reindirizzati a landing page progettate per imitare le pagine di accesso di Microsoft 365 (O365).“
Rockstar 2FA è un toolkit di phishing altamente sofisticato che permette anche ai criminali informatici meno esperti di condurre campagne di furto di credenziali su larga scala. Una versione aggiornata del kit di phishing DadSec (noto anche come Phoenix) che viene pubblicizzata su piattaforme come ICQ, Telegram e Mail.ru con un modello di abbonamento che varia da $200 per due settimane a $350 per un mese.
Come funziona
Il toolkit utilizza una tecnica chiamata attacco “Adversary-in-the-Middle” (AitM), che consente agli aggressori di intercettare le credenziali degli utenti e i cookie di sessione. Questo significa che anche gli utenti con autenticazione multi-fattore (MFA) abilitata possono essere vulnerabili.
Le campagne di phishing che sfruttano Rockstar 2FA utilizzano vari vettori di accesso iniziale, come URL, codici QR e allegati di documenti, spesso inviati da account compromessi o strumenti di spam. Il kit incorpora anche controlli antibot utilizzando Cloudflare Turnstile allo scopo di impedire l’analisi automatizzata delle pagine di phishing AitM.
Tra le caratteristiche principali di Rockstar 2FA ci sono:
- Aggiramento dell’autenticazione a due fattori (2FA)
- Raccolta dei cookie 2FA
- Protezione antibot
- Temi per pagine di login che imitano servizi popolari
- Link completamente non rilevabili (FUD, Fully Undetectable)
- Integrazione con bot di Telegram
Il toolkit offre anche un pannello amministrativo moderno e facile da usare, che consente ai clienti di monitorare lo stato delle loro campagne di phishing, generare URL e allegati, e personalizzare i temi applicati ai link creati.
Prestare attenzione
L’emergere di Rockstar 2FA rappresenta una significativa minaccia per la sicurezza informatica, in particolare per gli utenti di Microsoft 365. Le campagne di phishing che utilizzano questo toolkit sfruttano servizi legittimi come Atlassian Confluence, Google Docs Viewer, LiveAgent e Microsoft OneDrive, OneNote e Dynamics 365 Customer Voice per ospitare i link di phishing, approfittando della fiducia associata a queste piattaforme.
“Il design della pagina di phishing assomiglia molto alla pagina di accesso del marchio imitato“, affermano i ricercatori Trustwave. “Tutti i dati forniti dall’utente sulla pagina di phishing vengono immediatamente inviati al server AiTM. Le credenziali esfiltrate vengono quindi utilizzate per recuperare il cookie di sessione dell’account di destinazione”.
Rockstar 2FA è un esempio di come i criminali informatici stiano diventando sempre più sofisticati nelle loro tecniche di phishing. È essenziale che le organizzazioni e gli utenti finali adottino misure di sicurezza per proteggere credenziali e dati sensibili.