网络钓鱼服务Rockstar 2FA利用 AiTM 攻击瞄准 Microsoft 365 用户

网络安全研究人员警告称，恶意电子邮件活动利用名为Rockstar 2FA 的网络钓鱼即服务 ( PhaaS ) 工具包，目的是窃取 Microsoft 365 帐户凭据。

Trustwave 研究人员 Diana Solomon 和 John Kevin Adriano 表示：“此次活动采用了 AitM [中间人] 攻击，允许攻击者拦截用户凭证和会话 cookie，这意味着即使启用了多因素身份验证 (MFA) 的用户仍然可能受到攻击。 ”

Rockstar 2FA 被评估为DadSec（又名 Phoenix）网络钓鱼工具包的更新版本。微软正在跟踪 Dadsec PhaaS 平台的开发商和分销商，其代号为Storm-1575。

和之前的版本一样，该网络钓鱼工具包通过 ICQ、Telegram 和 Mail.ru 等服务进行宣传，采用订阅模式，两周收费 200 美元（一个月收费 350 美元），让几乎没有技术专长的网络犯罪分子也能大规模发起攻击。

Rockstar 2FA 的一些宣传功能包括双因素身份验证 (2FA) 绕过、2FA cookie 收集、反机器人保护、模仿流行服务的登录页面主题、完全不可检测 (FUD) 链接和 Telegram 机器人集成。

它还声称拥有一个“现代、用户友好的管理面板”，使客户能够跟踪其网络钓鱼活动的状态，生成 URL 和附件，甚至个性化应用于创建的链接的主题。

Trustwave 发现的电子邮件活动利用了各种初始访问载体，例如 URL、QR 码和文档附件，这些载体嵌入在受感染帐户或垃圾邮件工具发送的消息中。这些电子邮件利用了各种诱饵模板，从文件共享通知到电子签名请求。

除了使用合法的链接重定向器（例如，缩短的 URL、开放重定向、URL 保护服务或 URL 重写服务）作为绕过反垃圾邮件检测的机制之外，该套件还结合使用 Cloudflare Turnstile 的反机器人检查，试图阻止对 AitM 网络钓鱼页面的自动分析。

Trustwave 表示，它观察到该平台利用 Atlassian Confluence、Google Docs Viewer、LiveAgent、Microsoft OneDrive、OneNote 和 Dynamics 365 Customer Voice 等合法服务来托管网络钓鱼链接。

研究人员表示：“尽管 HTML 代码经过了大量混淆，但钓鱼页面的设计与被模仿品牌的登录页面非常相似。用户在钓鱼页面上提供的所有数据都会立即发送到 AiTM 服务器。然后，窃取的凭据将用于检索目标帐户的会话 cookie。”

技术报告：

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/trusted-domain-hidden-danger-deceptive-url-redirections-in-email-phishing-attacks/

新闻链接：

https://thehackernews.com/2024/11/phishing-as-service-rockstar-2fa.html

讲述普通人能听懂的安全故事