В последние месяцы эксперты по кибербезопасности фиксируют рост активности нового сервиса Phishing-as-a-Service (PhaaS) под названием Rockstar 2FA. Этот инструмент, разработанный хакерской группой Storm-1575, представляет собой мощную платформу для проведения фишинговых атак с использованием метода «противник посередине» (AiTM).
Как работает Rockstar 2FA?
Цель сервиса — перехват учетных данных пользователей, включая сессионные куки, что позволяет злоумышленникам обходить многофакторную аутентификацию (MFA). Платформа предоставляет своим клиентам следующие возможности:
- Обход двухфакторной аутентификации;
- Сбор сессионных куки для повторного использования;
- Антибот-защита с помощью Cloudflare Turnstile;
- Интеграция с Telegram-ботами для оперативного уведомления о вводе учетных данных;
- Настраиваемые фишинговые страницы, имитирующие интерфейс Microsoft 365 и других популярных сервисов.
Пользователи Rockstar 2FA могут легко запускать фишинговые кампании, используя удобную административную панель. Стоимость подписки варьируется от $200 за две недели до $350 за месяц, что делает инструмент доступным даже для новичков в киберпреступности.
Методы атак
Злоумышленники активно используют:
- Фишинговые письма с вложениями или ссылками на поддельные страницы;
- QR-коды и сокращенные URL для маскировки вредоносных ссылок;
- Доверенные платформы, такие как Google Docs Viewer, Atlassian Confluence, Microsoft OneDrive, для размещения фишинговых страниц.
Эти подходы помогают обходить спам-фильтры и снижают подозрительность жертв. Как только пользователь вводит свои данные на поддельной странице, они немедленно отправляются на сервер злоумышленников.
Рекомендации по защите
Эксперты советуют соблюдать осторожность при переходе по ссылкам из писем и использовать механизмы защиты, такие как FIDO2 или аппаратные токены. Кроме того, рекомендуется регулярно проверять активные сессии и отключать подозрительные подключения. Даже современные методы защиты требуют усиления и повышения уровня киберграмотности среди пользователей.