18 подписчиков

Фабрика фишинга: сервис для кражи учетных записей Microsoft 365

24 декабря 202424 дек 2024

2 мин

🔍 Специалисты по кибербезопасности из Sophos предупредили о появлении нового инструмента Phishing-as-a-Service (PaaS), который позволяет злоумышленникам легко получать учётные данные пользователей Microsoft 365. 📈 Инструмент называется FlowerStorm и, возможно, появился после закрытия платформы Rockstar2FA. 📍 Большинство целей, выбранных пользователями FlowerStorm (84%), находятся в США, Канаде, Великобритании, Австралии и Италии. Чаще всего жертвами становились компании в Штатах (60%), за ними следует Канада (8,96%). Почти все (94%) цели FlowerStorm находились либо в Северной Америке, либо в Европе. Остальные — в Сингапуре, Индии, Израиле, Новой Зеландии и ОАЭ. 🤝 Большинство жертв относятся к сфере услуг, а именно фирмы, предоставляющие инженерные, строительные, юридические услуги, услуги в области недвижимости и консалтинг. Исследователи из Sophos предупредили о появлении нового инструмента Phishing-as-a-Service (PaaS), который позволяет злоумышленникам легко охотиться за учётными

Оглавление

Сперва главное:
Теперь подробнее:

Сперва главное:

📈 Инструмент называется FlowerStorm и, возможно, появился после закрытия платформы Rockstar2FA.

📍 Большинство целей, выбранных пользователями FlowerStorm (84%), находятся в США, Канаде, Великобритании, Австралии и Италии. Чаще всего жертвами становились компании в Штатах (60%), за ними следует Канада (8,96%). Почти все (94%) цели FlowerStorm находились либо в Северной Америке, либо в Европе. Остальные — в Сингапуре, Индии, Израиле, Новой Зеландии и ОАЭ.

🤝 Большинство жертв относятся к сфере услуг, а именно фирмы, предоставляющие инженерные, строительные, юридические услуги, услуги в области недвижимости и консалтинг.

Теперь подробнее:

Исследователи из Sophos предупредили о появлении нового инструмента Phishing-as-a-Service (PaaS), который позволяет злоумышленникам легко охотиться за учётными данными пользователей Microsoft 365.

Этот инструмент называется FlowerStorm и, возможно, появился после (несуществующей) Rockstar2FA, сообщила компания, отметив, что в ноябре обнаружения Rockstar2FA «внезапно прекратились».

Инфраструктура организации была отключена, по крайней мере частично, по неизвестным пока причинам, но исследователи не думают, что это работа правоохранительных органов.

Rockstar2FA была платформой PaaS, предназначенной для обхода двухфакторной аутентификации (2FA), в первую очередь нацеленной на учётные записи Microsoft 365. Она работала путём перехвата процессов входа в систему для кражи файлов cookie сеанса, позволяя злоумышленникам получать доступ к учётным записям без необходимости использования учётных данных или кодов подтверждения. Через простой интерфейс и интеграцию с Telegram злоумышленники, купившие лицензию, могли управлять своими кампаниями в режиме реального времени.

Новая платформа, появившаяся через несколько недель после того, как Rockstar2FA перестала работать, была названа исследователями FlowerStorm. Очевидно, что большинство инструментов и функций FlowerStorm совпадают с функциями Rockstar2FA, поэтому Sophos предполагает, что она может быть её (духовным) преемником.

По данным Sophos, подавляющее большинство целей, выбранных пользователями FlowerStorm (84%), находятся в США, Канаде, Великобритании, Австралии и Италии.

Чаще всего объектами нападений становились компании в Штатах (60%), за ними следует Канада (8,96%). В целом почти все (94%) цели FlowerStorm находились либо в Северной Америке, либо в Европе, а остальные — в Сингапуре, Индии, Израиле, Новой Зеландии и Объединённых Арабских Эмиратах.

Большинство жертв относятся к сфере услуг, а именно фирмы, предоставляющие инженерные, строительные, юридические услуги, услуги в области недвижимости и консалтинг. Защита от FlowerStorm такая же, как и от любой другой фишинговой атаки — здравый смысл и осторожность при работе с входящими письмами.