Une nouvelle plate-forme de phishing en tant que service Microsoft 365 appelée « Flower Storm » gagne en popularité, comblant le vide laissé par l’arrêt soudain du service de cybercriminalité Rockstar2FA.

Documenté pour la première fois par Trustwave fin novembre 2024, Rockstar2FA fonctionnait comme une plate-forme Paas facilitant les attaques à grande échelle de l’adversaire au milieu (AiTM) ciblant les informations d’identification Microsoft 365.

Le service offrait des mécanismes d’évasion avancés, un panneau convivial et de nombreuses options d’hameçonnage, vendant un accès aux cybercriminels pour 200/ / deux semaines.

Selon les chercheurs de Sophos Sean Gallagher et Mark Parsons, Rockstar2FA a souffert d’un effondrement partiel de l’infrastructure le 11 novembre 2024, rendant de nombreuses pages du service inaccessibles.

Sophos affirme que cela ne semble pas être le résultat d’une action des forces de l’ordre contre la plate-forme de cybercriminalité, mais plutôt d’une défaillance technique.

Quelques semaines plus tard, Flower Storm, qui est apparu pour la première fois en ligne en juin 2024, a rapidement commencé à gagner du terrain.

Détections de l’étoile Rocheuse2FA

Un possible changement de nom de Rockstar2FA?
Sophos a constaté que le nouveau service, FlowerStorm PhaaS, partage de nombreuses fonctionnalités précédemment vues dans Rockstar2FA, il est donc possible que les opérateurs aient changé de nom pour réduire l’exposition.

Sophos a identifié plusieurs similitudes entre Rockstar2FA et FlowerStorm, suggérant une ascendance commune ou un chevauchement opérationnel:

  1. Les deux plates-formes utilisent des portails de phishing imitant des pages de connexion légitimes (par exemple, Microsoft) pour récolter des informations d’identification et des jetons MFA, en s’appuyant sur des serveurs principaux hébergés sur des domaines tels que .ru et .com. Rockstar2FA a utilisé des scripts PHP aléatoires, tandis que FlowerStorm s’est normalisé avec next.php.
  2. La structure HTML de leurs pages de phishing est très similaire, avec du texte aléatoire dans les commentaires, des fonctionnalités de sécurité Cloudflare « tourniquet » et des invites telles que  » Initialisation des protocoles de sécurité du navigateur. »Rockstar2FA a utilisé des thèmes automobiles, tandis que FlowerStorm s’est déplacé vers des thèmes botaniques, mais le design sous-jacent reste cohérent.
  3. Les méthodes de récolte des informations d’identification s’alignent étroitement, en utilisant des champs tels que les jetons d’e-mail, de passe et de suivi de session. Les deux plates-formes prennent en charge la validation des e-mails et l’authentification MFA via leurs systèmes backend.
  4. Les modèles d’enregistrement et d’hébergement de domaines se chevauchent considérablement, avec une utilisation intensive des domaines .ru et .com et des services Cloudflare. Leurs schémas d’activité ont montré des hausses et des baisses synchronisées jusqu’à la fin de 2024, indiquant une coordination potentielle.
  5. Les deux plates-formes ont commis des erreurs opérationnelles qui ont exposé les systèmes backend et ont démontré une grande évolutivité. Rockstar2FA a géré plus de 2 000 domaines, tandis que FlowerStorm s’est rapidement développé après l’effondrement de Rockstar2FA, suggérant un cadre partagé.
Modèle d’activité

« Nous ne pouvons pas lier avec une grande confiance Rockstar2FA et FlowerStorm, si ce n’est pour noter que les kits reflètent au minimum une ascendance commune en raison du contenu similaire des kits déployés », conclut Sophos.

« Les modèles similaires d’enregistrement de domaine pourraient refléter le fait que FlowerStorm et Rockstar travaillent en coordination, bien qu’il soit également possible que ces modèles correspondants aient été motivés par les forces du marché plus que par les plates-formes elles-mêmes. »

Un nouveau danger se lève
Quelle que soit l’histoire derrière la montée soudaine de Flower Storm, pour les utilisateurs et les organisations, c’est encore un autre catalyseur d’attaques de phishing dommageables qui pourraient conduire à des cyberattaques à part entière.

La télémétrie de Sophos montre qu’environ 63% des organisations et 84% des utilisateurs ciblés par FlowerStorm sont basés aux États-Unis.

Cibles de tempête de fleurs

Les secteurs les plus ciblés sont les services (33%), la fabrication (21%), le commerce de détail (12%) et les services financiers (8%).

Pour vous protéger contre les attaques de phishing, utilisez l’authentification multifacteur (MFA) avec des jetons FIDO 2 résistants à l’AiTM, déployez des solutions de filtrage des e-mails et utilisez le filtrage DNS pour bloquer l’accès aux domaines suspects tels que .ru,.moscou, et .dev.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *