23/12/24
Некогда популярный сервис Rockstar2FA, впервые описанный исследователями Trustwave в ноябре 2024 года, специализировался на фишинговых атаках типа Adversary-in-the- Middle (AiTM), направленных на кражу данных учётных записей Microsoft 365.
По данным экспертов Sophos, работа Rockstar2FA прекратилась после технического сбоя 11 ноября 2024 года, что сделало многие её страницы недоступными. При этом исследователи подчёркивают, что нарушение в работе никак не связано с действиями правоохранительных органов, пишет Securitylab.
Как бы то ни было, без альтернативы злоумышленники не остались, ведь на смену Rockstar2FA быстро пришла FlowerStorm — платформа, впервые зафиксированная в июне 2024 года, но ставшая популярной в последние недели.
Sophos отмечает большие сходства между этими сервисами, предполагая либо их общую основу, либо ребрендинг. Оба инструмента используют порталы, имитирующие страницы входа Microsoft, для кражи учётных данных и токенов MFA. Кроме того, у них схожие методы регистрации доменов и архитектура систем.
FlowerStorm отличилась изменением тематического оформления — вместо автомобильной тематики Rockstar2FA выбрана ботаническая, однако структура HTML-страниц осталась практически идентичной. Исследователи также обнаружили сходства в доменных зонах и используемых технологиях защиты.
Хотя прямую связь между платформами доказать сложно, их методы работы говорят о значительном пересечении тактик. К тому же, FlowerStorm быстро увеличила масштаб своей деятельности, задействуя более 2000 доменов после прекращения работы Rockstar2FA.
Согласно данным Sophos, жертвами FlowerStorm чаще всего становятся организации в США (63%) и отдельные интернет-пользователи (84%). Наиболее пострадавшие секторы — сфера услуг (33%), производство (21%), розничная торговля (12%) и финансовые услуги (8%).
