Peneliti keamanan siber memperingatkan mengenai kampanye email berbahaya yang memanfaatkan perangkat phishing-as-a-service (PhaaS) yang disebut Bintang Rock 2FA dengan tujuan untuk mencuri kredensial akun Microsoft 365.
“Kampanye ini menggunakan AitM [adversary-in-the-middle] serangan, memungkinkan penyerang untuk mencegat kredensial pengguna dan cookie sesi, yang berarti bahwa bahkan pengguna dengan otentikasi multi-faktor (MFA) diaktifkan masih bisa menjadi rentan,” kata peneliti Trustwave Diana Solomon dan John Kevin Adriano.
Rockstar 2FA dinilai sebagai versi terbaru dari kit phishing DadSec (alias Phoenix). Microsoft melacak pengembang dan distributor platform Dadsec PhaaS dengan nama Storm-1575.
Seperti pendahulunya, perangkat phishing diiklankan melalui layanan seperti ICQ, Telegram, dan Mail.ru dengan model berlangganan seharga $200 selama dua minggu (atau $350 selama sebulan), sehingga memungkinkan penjahat dunia maya yang memiliki sedikit atau tanpa keahlian teknis untuk melakukan serangan. kampanye dalam skala besar.
Beberapa fitur yang dipromosikan dari Rockstar 2FA termasuk bypass otentikasi dua faktor (2FA), pengumpulan cookie 2FA, perlindungan antibot, tema halaman login yang meniru layanan populer, tautan yang sepenuhnya tidak terdeteksi (FUD), dan integrasi bot Telegram.
Ia juga mengklaim memiliki “panel admin modern dan mudah digunakan” yang memungkinkan pelanggan melacak status kampanye phishing mereka, menghasilkan URL dan lampiran, dan bahkan mempersonalisasi tema yang diterapkan pada tautan yang dibuat.
Kampanye email yang ditemukan oleh Trustwave memanfaatkan beragam vektor akses awal seperti URL, kode QR, dan lampiran dokumen, yang tertanam dalam pesan yang dikirim dari akun yang disusupi atau alat spam. Email tersebut menggunakan berbagai templat umpan mulai dari pemberitahuan berbagi file hingga permintaan tanda tangan elektronik.
Selain menggunakan pengalihan tautan yang sah (misalnya, URL yang diperpendek, pengalihan terbuka, layanan perlindungan URL, atau layanan penulisan ulang URL) sebagai mekanisme untuk melewati deteksi antispam, kit ini juga menyertakan pemeriksaan antibot menggunakan Cloudflare Turnstile dalam upaya untuk menghalangi analisis otomatis terhadap phishing AitM. halaman.
Trustwave mengatakan pihaknya mengamati platform tersebut menggunakan layanan sah seperti Atlassian Confluence, Google Docs Viewer, LiveAgent, dan Microsoft OneDrive, OneNote, dan Dynamics 365 Customer Voice untuk menghosting tautan phishing, menyoroti bahwa pelaku ancaman memanfaatkan kepercayaan yang menyertainya. platform.
“Desain halaman phishing sangat mirip dengan halaman masuk merek yang ditiru meskipun banyak kebingungan yang diterapkan pada kode HTML,” kata para peneliti. “Semua data yang diberikan oleh pengguna di halaman phishing segera dikirim ke server AiTM. Kredensial yang dieksfiltrasi kemudian digunakan untuk mengambil cookie sesi dari akun target.”
Pengungkapan ini terjadi ketika Malwarebytes merinci kampanye phishing yang dijuluki Beluga yang menggunakan lampiran .HTM untuk menipu penerima email agar memasukkan kredensial Microsoft OneDrive mereka pada formulir login palsu, yang kemudian dieksfiltrasi ke bot Telegram.
Tautan phishing dan iklan permainan taruhan yang menipu di media sosial juga ditemukan mendorong aplikasi adware seperti MobiDash serta aplikasi keuangan palsu yang mencuri data pribadi dan uang dengan kedok menjanjikan keuntungan cepat.
“Permainan taruhan yang diiklankan disajikan sebagai peluang sah untuk memenangkan uang, namun dirancang dengan hati-hati untuk mengelabui pengguna agar menyetor dana, yang mungkin tidak akan pernah mereka lihat lagi,” kata analis Group-IB CERT Mahmoud Mosaad.
“Melalui aplikasi dan situs web palsu ini, penipu akan mencuri informasi pribadi dan keuangan dari pengguna selama proses pendaftaran. Korban dapat menderita kerugian finansial yang signifikan, dan beberapa melaporkan kerugian lebih dari US$10.000.”