Gangguan pada toolkit phishing-as-a-service (PhaaS) disebut Bintang Rock 2FA telah menyebabkan peningkatan pesat dalam aktivitas dari penawaran baru lainnya yang bernama Badai Bunga.
“Tampaknya itu [Rockstar2FA] kelompok yang menjalankan layanan tersebut mengalami setidaknya sebagian infrastrukturnya runtuh, dengan halaman-halaman yang terkait dengan layanan tersebut tidak lagi dapat dijangkau,” kata Sophos dalam laporan baru yang diterbitkan minggu lalu. “Hal ini tampaknya bukan disebabkan oleh tindakan penghapusan, namun karena untuk beberapa kegagalan teknis di bagian belakang layanan.”
Rockstar2FA pertama kali didokumentasikan oleh Trustwave akhir bulan lalu sebagai layanan PhaaS yang memungkinkan pelaku kriminal meluncurkan serangan phishing yang mampu mengambil kredensial akun Microsoft 365 dan cookie sesi, sehingga menghindari perlindungan otentikasi multi-faktor (MFA).
Layanan tersebut dinilai merupakan versi terbaru dari kit phishing DadSec, yang dilacak oleh Microsoft dengan nama Storm-1575. Mayoritas halaman phishing ditemukan dihosting di .com, .de, .ru. dan domain tingkat atas .moscow, meskipun penggunaan domain .ru diyakini telah menyusut seiring berjalannya waktu.
Rockstar2FA tampaknya mengalami gangguan teknis pada 11 November 2024, ketika pengalihan ke halaman umpan perantara menghasilkan kesalahan batas waktu Cloudflare dan halaman login palsu gagal dimuat.
Meskipun tidak jelas apa yang menyebabkan gangguan tersebut, kekosongan yang ditinggalkan oleh toolkit PhaaS telah mengakibatkan lonjakan aktivitas phishing yang terkait dengan FlowerStorm, yang telah aktif setidaknya sejak Juni 2024.
Sophos mengatakan bahwa kedua layanan tersebut memiliki kesamaan dalam hal format halaman portal phishing dan metode yang digunakan untuk terhubung ke server backend untuk pengumpulan kredensial, sehingga meningkatkan kemungkinan adanya nenek moyang yang sama. Mereka juga menyalahgunakan Cloudflare Turnstile untuk memastikan bahwa permintaan halaman yang masuk bukan dari bot.
Diduga bahwa gangguan pada tanggal 11 November mencerminkan poros strategis dalam salah satu kelompok, perubahan personel yang menjalankannya, atau upaya yang disengaja untuk memisahkan operasi kembar tersebut. Tidak ada bukti pasti yang menghubungkan kedua layanan tersebut pada tahap ini.
Negara-negara yang paling sering menjadi sasaran penggunaan FlowerStorm termasuk Amerika Serikat, Kanada, Inggris, Australia, Italia, Swiss, Puerto Riko, Jerman, Singapura, dan India.
“Sektor yang paling banyak menjadi sasaran adalah industri jasa, dengan fokus khusus pada perusahaan-perusahaan yang menyediakan jasa teknik, konstruksi, real estat, serta layanan dan konsultasi hukum,” kata Sophos.
Temuan ini sekali lagi menggambarkan tren yang sedang berlangsung di mana para penyerang menggunakan layanan penjahat siber dan alat komoditas untuk melakukan serangan siber dalam skala besar, bahkan tanpa memerlukan banyak keahlian teknis.
