Как закрытие Rockstar2FA послужило толчком к привлечению аудитории.
Некогда популярный сервис Rockstar2FA, впервые описанный исследователями Trustwave в ноябре 2024 года, специализировался на фишинговых атаках типа Adversary-in-the-Middle (AiTM), направленных на кражу данных учётных записей Microsoft 365. Платформа предлагала удобный интерфейс и механизмы обхода защиты, продавая доступ к своим инструментам за $200 на две недели.
По данным экспертов Sophos, работа Rockstar2FA прекратилась после технического сбоя 11 ноября 2024 года, что сделало многие её страницы недоступными. При этом исследователи подчёркивают, что нарушение в работе никак не связано с действиями правоохранительных органов.
Как бы то ни было, без альтернативы злоумышленники не остались, ведь на смену Rockstar2FA быстро пришла FlowerStorm — платформа, впервые зафиксированная в июне 2024 года, но ставшая популярной в последние недели.
Sophos отмечает большие сходства между этими сервисами, предполагая либо их общую основу, либо ребрендинг. Оба инструмента используют порталы, имитирующие страницы входа Microsoft, для кражи учётных данных и токенов MFA. Кроме того, у них схожие методы регистрации доменов и архитектура систем.
FlowerStorm отличилась изменением тематического оформления — вместо автомобильной тематики Rockstar2FA выбрана ботаническая, однако структура HTML-страниц осталась практически идентичной. Исследователи также обнаружили сходства в доменных зонах и используемых технологиях защиты.
Хотя прямую связь между платформами доказать сложно, их методы работы говорят о значительном пересечении тактик. К тому же, FlowerStorm быстро увеличила масштаб своей деятельности, задействуя более 2000 доменов после прекращения работы Rockstar2FA.
Согласно данным Sophos, жертвами FlowerStorm чаще всего становятся организации в США (63%) и отдельные интернет-пользователи (84%). Наиболее пострадавшие секторы — сфера услуг (33%), производство (21%), розничная торговля (12%) и финансовые услуги (8%).
Для защиты от подобных угроз эксперты рекомендуют использовать токены FIDO2, устойчивые к AiTM-атакам, а также внедрять фильтры для электронной почты и DNS-решения для блокировки подозрительных доменов.
И мы тоже не спим, чтобы держать вас в курсе всех угроз