Исследователи обнаружили, что после закрытия хакерского сервиса Rockstar2FA популярность стала набирать новая фишинговая платформа FlowerStorm, ориентированная на взлом аккаунтов Microsoft 365.

Платформа Rockstar2FA, обнаруженная аналитиками Trustwave в конце ноября 2024 года, работала по схеме PhaaS (Phishing-as-a-Service, «Фишинг-как-услуга») и была нацелена на пользователей Microsoft 365. Сервис предлагал своим клиентам продвинутые механизмы уклонения от обнаружения, множество настроек для фишинга, а доступ к нему стоил 200 долларов за две недели.

Как теперь сообщили исследователи Sophos, 11 ноября инфраструктура Rockstar2FA оказалась частично разрушена, в результате чего сервис прекратил работу. При этом специалисты полагают, что это не было результатом действий правоохранительных органов и объясняют произошедшее техническим сбоем.

Спустя несколько недель после возникновения проблем у Rockstar2FA популярность среди преступников начала набирать платформа FlowerStorm, впервые замеченная в сети в июне 2024 года.

Эксперты отмечают, что FlowerStorm имеет много общих черт с Rockstar2FA, поэтому не исключено, что операторы PhaaS-платформы попросту провели ребрендинг.

Так, обе платформы используют фишинговые порталы, имитирующие легитимные страницы входа для сбора учетных данных и МФА-токенов, полагаясь при этом на внутренние серверы, размещенные в зонах com, .de, .ru. и .moscow. Хотя Rockstar2FA использовала рандомизированные PHP-скрипты, а FlowerStorm — стандартный next.php.

HTML-структура фишинговых страниц сервисов схожа: случайный текст в комментариях, использование защитных функций Cloudflare Turnstile и подсказки вроде «Initializing browser security protocols».

Методы сбора учетных данных так же совпадают: в них задействованы такие поля, как email, пароль и токены для отслеживания сеансов. Обе платформы поддерживают валидацию электронной почты и МФА-аутентификацию через свои бэкэнд-системы.

Паттерны регистрации доменов и хостинга тоже практически аналогичны, а активность обеих платформ синхронно растет и падает, что тоже указывает на потенциальную взаимосвязь, хотя здесь могли сыграть роль рыночные факторы.

Также отмечается, что операторы обеих платформ допустили ошибки, раскрывшие их бэкэнд. В итоге стало понятно, что Rockstar2FA управляла более чем 2000 доменов, а FlowerStorm быстро расширилась вскоре после коллапса Rockstar2FA, что указывает на возможное наличие связи.

По данным Sophos, примерно 63% организаций и 84% пользователей, на которых нацелена FlowerStorm, находятся в США.

 

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии