Хакер #305. Многошаговые SQL-инъекции
Исследователи обнаружили, что после закрытия хакерского сервиса Rockstar2FA популярность стала набирать новая фишинговая платформа FlowerStorm, ориентированная на взлом аккаунтов Microsoft 365.
Платформа Rockstar2FA, обнаруженная аналитиками Trustwave в конце ноября 2024 года, работала по схеме PhaaS (Phishing-as-a-Service, «Фишинг-как-услуга») и была нацелена на пользователей Microsoft 365. Сервис предлагал своим клиентам продвинутые механизмы уклонения от обнаружения, множество настроек для фишинга, а доступ к нему стоил 200 долларов за две недели.
Как теперь сообщили исследователи Sophos, 11 ноября инфраструктура Rockstar2FA оказалась частично разрушена, в результате чего сервис прекратил работу. При этом специалисты полагают, что это не было результатом действий правоохранительных органов и объясняют произошедшее техническим сбоем.
Спустя несколько недель после возникновения проблем у Rockstar2FA популярность среди преступников начала набирать платформа FlowerStorm, впервые замеченная в сети в июне 2024 года.
Эксперты отмечают, что FlowerStorm имеет много общих черт с Rockstar2FA, поэтому не исключено, что операторы PhaaS-платформы попросту провели ребрендинг.
Так, обе платформы используют фишинговые порталы, имитирующие легитимные страницы входа для сбора учетных данных и МФА-токенов, полагаясь при этом на внутренние серверы, размещенные в зонах com, .de, .ru. и .moscow. Хотя Rockstar2FA использовала рандомизированные PHP-скрипты, а FlowerStorm — стандартный next.php.
HTML-структура фишинговых страниц сервисов схожа: случайный текст в комментариях, использование защитных функций Cloudflare Turnstile и подсказки вроде «Initializing browser security protocols».
Методы сбора учетных данных так же совпадают: в них задействованы такие поля, как email, пароль и токены для отслеживания сеансов. Обе платформы поддерживают валидацию электронной почты и МФА-аутентификацию через свои бэкэнд-системы.
Паттерны регистрации доменов и хостинга тоже практически аналогичны, а активность обеих платформ синхронно растет и падает, что тоже указывает на потенциальную взаимосвязь, хотя здесь могли сыграть роль рыночные факторы.
Также отмечается, что операторы обеих платформ допустили ошибки, раскрывшие их бэкэнд. В итоге стало понятно, что Rockstar2FA управляла более чем 2000 доменов, а FlowerStorm быстро расширилась вскоре после коллапса Rockstar2FA, что указывает на возможное наличие связи.
По данным Sophos, примерно 63% организаций и 84% пользователей, на которых нацелена FlowerStorm, находятся в США.