Ερευνητές ασφαλείας προειδοποιούν για επιθέσεις, που αξιοποιούν ένα phishing-as-a-service (PhaaS) toolkit, με το όνομα Rockstar 2FA, με στόχο να κλέψουν credentials για λογαριασμούς Microsoft 365.
“Αυτή η κακόβουλη καμπάνια περιλαμβάνει μια επίθεση AitM [adversary-in-the-middle], που επιτρέπει στους εισβολείς να υποκλέψουν credentials χρήστη και session cookies. Αυτό σημαίνει ότι ακόμη και οι χρήστες με ενεργοποιημένο έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) εξακολουθούν να είναι ευάλωτοι“, δήλωσαν οι ερευνητές της Trustwave, Diana Solomon και John Kevin Adriano.
Οι ερευνητές πιστεύουν ότι το toolkit Rockstar 2FA είναι μια ενημερωμένη έκδοση του phishing kit DadSec (γνωστό και ως Phoenix). Η Microsoft παρακολουθεί τους προγραμματιστές και τους διανομείς της PhaaS πλατφόρμας Dadsec ως Storm-1575.
Δείτε επίσης: Το phishing εργαλείο “GoIssue” στοχεύει χρήστες του GitHub
Bot χρησιμοποιούν scalping και εξαντλούν τα δημοφιλή δώρα
Perseverance: Μελετά τους αρχαιότερους βράχους στον Άρη
Μυστήρια drones στο New Jersey: Τι λέει το Πεντάγωνο;
Όπως και οι προκάτοχοί του, το Rockstar 2FA διαφημίζεται μέσω υπηρεσιών όπως το ICQ, το Telegram και το Mail.ru. Οι ενδιαφερόμενοι μπορούν να πληρώσουν μια συνδρομή 200 $ για δύο εβδομάδες (ή 350 $ για ένα μήνα). Κυβερνοεγκληματίες με ελάχιστη έως καθόλου τεχνική εξειδίκευση μπορούν να το αξιοποιήσουν για να πραγματοποιήσουν αποτελεσματικές phishing επιθέσεις.
Οι προγραμματιστές λένε ότι το Rockstar 2FA περιλαμβάνει δυνατότητα παράκαμψης ελέγχου ταυτότητας δύο παραγόντων (2FA), συλλογή 2FA cookie, προστασία antibot, login page themes που μιμούνται δημοφιλείς υπηρεσίες, μη ανιχνεύσιμους συνδέσμους (FUD) και ενσωμάτωση Telegram bot.
Επίσης, λέγεται ότι το phishing kit διαθέτει έναν “σύγχρονο, φιλικό προς τον χρήστη πίνακα διαχείρισης” που επιτρέπει στους πελάτες να παρακολουθούν την κατάσταση των phishing επιθέσεών τους, να δημιουργούν διευθύνσεις URL και συνημμένα, ακόμη και να εξατομικεύουν θέματα που εφαρμόζονται στους συνδέσμους που δημιουργούνται.
Σύμφωνα με την Trustwave, οι phishing επιθέσεις περιλαμβάνουν διευθύνσεις URL, QR codes και συνημμένα, τα οποία ενσωματώνονται στα μηνύματα που αποστέλλονται από παραβιασμένους λογαριασμούς ή εργαλεία spamming. Τα emails χρησιμοποιούν διάφορα templates ως δόλωμα, που κυμαίνονται από ειδοποιήσεις για κοινή χρήση αρχείων έως αιτήματα για ηλεκτρονικές υπογραφές.
Δείτε επίσης: Xiū gǒu: Νέο phishing kit στοχεύει χρήστες σε 5 χώρες
Οι επιτιθέμενοι χρησιμοποιούν νόμιμα link redirectors (π.χ. συντομευμένες διευθύνσεις URL, open redirects, υπηρεσίες προστασίας διευθύνσεων URL ή υπηρεσίες επανεγγραφής διευθύνσεων URL) για παράκαμψη της ανίχνευσης ανεπιθύμητων μηνυμάτων, αλλά το phishing kit Rockstar 2FA ενσωματώνει και ελέγχους antibot χρησιμοποιώντας το Cloudflare Turnstile σε μια προσπάθεια να αποτρέψει την αυτοματοποιημένη ανάλυση AitM phishing pages.
Η Trustwave είπε ότι παρατήρησε ότι η πλατφόρμα χρησιμοποιεί νόμιμες υπηρεσίες όπως το Atlassian Confluence, το Google Docs Viewer, το LiveAgent, το Microsoft OneDrive, το OneNote και το Dynamics 365 Customer Voice για τη φιλοξενία συνδέσμων phishing. Αυτό γίνεται, επειδή οι χρήστες εμπιστεύονται αυτές τις πλατφόρμες και άρα είναι πιο εύκολο να πέσουν στην παγίδα.
“Οι phishing σελίδες μοιάζουν πολύ με τις σελίδες σύνδεσης γνωστών υπηρεσιών παρά τα πολυάριθμα obfuscations που εφαρμόζονται στον κώδικα HTML“, είπαν οι ερευνητές. “Όλα τα δεδομένα που παρέχονται από τον χρήστη στη phishing σελίδα αποστέλλονται αμέσως στον διακομιστή AiTM. Τα credentials που εξάγονται χρησιμοποιούνται για την ανάκτηση του session cookie του λογαριασμού-στόχου“.
Προστασία
Οι χρήστες θα πρέπει να είναι προσεκτικοί με τα μηνύματα που λαμβάνουν από αγνώστους ή από υποτιθέμενες γνωστές εταιρείες. Πολλές φορές, οι επιθέσεις phishing ξεκινούν με ένα απλό μήνυμα που ζητάει τα στοιχεία σύνδεσης του χρήστη.
Δείτε επίσης: Phishing: Χρήση SVG αρχείων για αποφυγή εντοπισμού
Έπειτα, θα πρέπει να ενημερώνουν τακτικά το λογισμικό τους, συμπεριλαμβανομένου του λειτουργικού συστήματος και των εφαρμογών. Οι ενημερώσεις αυτές συχνά περιλαμβάνουν διορθώσεις ασφαλείας που μπορούν να προστατεύσουν τον χρήστη από τις πιο πρόσφατες απειλές.
Η χρήση ενός αξιόπιστου λογισμικού ασφαλείας, όπως ένα antivirus ή μια εφαρμογή ασφαλείας, μπορεί να βοηθήσει στην προστασία από τις επιθέσεις. Αυτά τα εργαλεία μπορούν να αναγνωρίσουν και να μπλοκάρουν ύποπτες ιστοσελίδες ή μηνύματα που προσπαθούν να κλέψουν τα στοιχεία του χρήστη.
Τέλος, οι χρήστες θα πρέπει να είναι προσεκτικοί όταν κατεβάζουν εφαρμογές από το διαδίκτυο. Πολλές φορές, οι εφαρμογές που φαίνονται αθώες μπορεί να περιέχουν κρυφό κώδικα που μπορεί να κλέψει τα στοιχεία του χρήστη ή να προκαλέσει άλλες απειλές για την ασφάλεια.
Πηγή: thehackernews.com