Плагиат или ребрендинг? Sophos раскрывает секреты фишинг-сервиса FlowerStorm

Плагиат или ребрендинг? Sophos раскрывает секреты фишинг-сервиса FlowerStorm

Как закрытие Rockstar2FA послужило толчком к привлечению аудитории.

image

Некогда популярный сервис Rockstar2FA, впервые описанный исследователями Trustwave в ноябре 2024 года, специализировался на фишинговых атаках типа Adversary-in-the-Middle (AiTM), направленных на кражу данных учётных записей Microsoft 365. Платформа предлагала удобный интерфейс и механизмы обхода защиты, продавая доступ к своим инструментам за $200 на две недели.

По данным экспертов Sophos, работа Rockstar2FA прекратилась после технического сбоя 11 ноября 2024 года, что сделало многие её страницы недоступными. При этом исследователи подчёркивают, что нарушение в работе никак не связано с действиями правоохранительных органов.

Как бы то ни было, без альтернативы злоумышленники не остались, ведь на смену Rockstar2FA быстро пришла FlowerStorm — платформа, впервые зафиксированная в июне 2024 года, но ставшая популярной в последние недели.

Sophos отмечает большие сходства между этими сервисами, предполагая либо их общую основу, либо ребрендинг. Оба инструмента используют порталы, имитирующие страницы входа Microsoft, для кражи учётных данных и токенов MFA. Кроме того, у них схожие методы регистрации доменов и архитектура систем.

FlowerStorm отличилась изменением тематического оформления — вместо автомобильной тематики Rockstar2FA выбрана ботаническая, однако структура HTML-страниц осталась практически идентичной. Исследователи также обнаружили сходства в доменных зонах и используемых технологиях защиты.

Хотя прямую связь между платформами доказать сложно, их методы работы говорят о значительном пересечении тактик. К тому же, FlowerStorm быстро увеличила масштаб своей деятельности, задействуя более 2000 доменов после прекращения работы Rockstar2FA.

Согласно данным Sophos, жертвами FlowerStorm чаще всего становятся организации в США (63%) и отдельные интернет-пользователи (84%). Наиболее пострадавшие секторы — сфера услуг (33%), производство (21%), розничная торговля (12%) и финансовые услуги (8%).

Для защиты от подобных угроз эксперты рекомендуют использовать токены FIDO2, устойчивые к AiTM-атакам, а также внедрять фильтры для электронной почты и DNS-решения для блокировки подозрительных доменов.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!