- 14,589
- 22
- 8 Ноя 2022
Как закрытие Rockstar2FA послужило толчком к привлечению аудитории.
Некогда популярный сервис Rockstar2FA, впервые описанный исследователями Trustwave Для просмотра ссылки Войдиили Зарегистрируйся специализировался на фишинговых атаках типа Adversary-in-the-Middle ( AiTM ), направленных на кражу данных учётных записей Microsoft 365 . Платформа предлагала удобный интерфейс и механизмы обхода защиты, продавая доступ к своим инструментам за $200 на две недели.
Для просмотра ссылки Войдиили Зарегистрируйся экспертов Sophos , работа Rockstar2FA прекратилась после технического сбоя 11 ноября 2024 года, что сделало многие её страницы недоступными. При этом исследователи подчёркивают, что нарушение в работе никак не связано с действиями правоохранительных органов.
Как бы то ни было, без альтернативы злоумышленники не остались, ведь на смену Rockstar2FA быстро пришла FlowerStorm — платформа, впервые зафиксированная в июне 2024 года, но ставшая популярной в последние недели.
Sophos отмечает большие сходства между этими сервисами, предполагая либо их общую основу, либо ребрендинг. Оба инструмента используют порталы, имитирующие страницы входа Microsoft, для кражи учётных данных и токенов MFA . Кроме того, у них схожие методы регистрации доменов и архитектура систем.
FlowerStorm отличилась изменением тематического оформления — вместо автомобильной тематики Rockstar2FA выбрана ботаническая, однако структура HTML-страниц осталась практически идентичной. Исследователи также обнаружили сходства в доменных зонах и используемых технологиях защиты.
Хотя прямую связь между платформами доказать сложно, их методы работы говорят о значительном пересечении тактик. К тому же, FlowerStorm быстро увеличила масштаб своей деятельности, задействуя более 2000 доменов после прекращения работы Rockstar2FA.
Согласно данным Sophos, жертвами FlowerStorm чаще всего становятся организации в США (63%) и отдельные интернет-пользователи (84%). Наиболее пострадавшие секторы — сфера услуг (33%), производство (21%), розничная торговля (12%) и финансовые услуги (8%).
Для защиты от подобных угроз эксперты рекомендуют использовать токены FIDO2 , устойчивые к AiTM-атакам, а также внедрять фильтры для электронной почты и DNS-решения для блокировки подозрительных доменов.
Некогда популярный сервис Rockstar2FA, впервые описанный исследователями Trustwave Для просмотра ссылки Войди
Для просмотра ссылки Войди
Как бы то ни было, без альтернативы злоумышленники не остались, ведь на смену Rockstar2FA быстро пришла FlowerStorm — платформа, впервые зафиксированная в июне 2024 года, но ставшая популярной в последние недели.
Sophos отмечает большие сходства между этими сервисами, предполагая либо их общую основу, либо ребрендинг. Оба инструмента используют порталы, имитирующие страницы входа Microsoft, для кражи учётных данных и токенов MFA . Кроме того, у них схожие методы регистрации доменов и архитектура систем.
FlowerStorm отличилась изменением тематического оформления — вместо автомобильной тематики Rockstar2FA выбрана ботаническая, однако структура HTML-страниц осталась практически идентичной. Исследователи также обнаружили сходства в доменных зонах и используемых технологиях защиты.
Хотя прямую связь между платформами доказать сложно, их методы работы говорят о значительном пересечении тактик. К тому же, FlowerStorm быстро увеличила масштаб своей деятельности, задействуя более 2000 доменов после прекращения работы Rockstar2FA.
Согласно данным Sophos, жертвами FlowerStorm чаще всего становятся организации в США (63%) и отдельные интернет-пользователи (84%). Наиболее пострадавшие секторы — сфера услуг (33%), производство (21%), розничная торговля (12%) и финансовые услуги (8%).
Для защиты от подобных угроз эксперты рекомендуют использовать токены FIDO2 , устойчивые к AiTM-атакам, а также внедрять фильтры для электронной почты и DNS-решения для блокировки подозрительных доменов.
- Источник новости
- www.securitylab.ru
