Une nouvelle plate-forme de phishing en tant que service (Paas) nommée « Rockstar 2FA » est apparue, facilitant les attaques à grande échelle de l’adversaire au milieu (AiTM) pour voler les informations d’identification Microsoft 365.
Comme les autres plates-formes AiTM, Rockstar 2FA permet aux attaquants de contourner les protections d’authentification multifacteur (MFA) sur les comptes ciblés en interceptant des cookies de session valides.
Ces attaques fonctionnent en dirigeant les victimes vers une fausse page de connexion qui imite Microsoft 365 et en les incitant à saisir leurs informations d’identification.
Le serveur AiTM agit comme un proxy, transmettant ces informations d’identification au service légitime de Microsoft pour terminer le processus d’authentification, puis capture le cookie lorsqu’il est renvoyé au navigateur de la cible.
Ce cookie peut ensuite être utilisé par les acteurs de la menace pour un accès direct au compte de la victime, même s’il est protégé par MFA, l’acteur de la menace n’ayant pas du tout besoin des informations d’identification.
Montée de Rockstar 2FA
Trustwave rapporte que Rockstar 2FA est en fait une version mise à jour des kits de phishing DadSec et Phoenix, qui ont gagné du terrain au début et à la fin de 2023 respectivement.
Les chercheurs affirment que Rockstar 2FA a gagné en popularité dans la communauté de la cybercriminalité depuis août 2024, se vendant 200 for pour deux semaines ou 180 $pour le renouvellement de l’accès aux API.
Le service est promu sur Telegram, entre autres, avec une longue liste de fonctionnalités telles que:
- Prise en charge de Microsoft 365, Hotmail, Godaddy, SSO
- Code source aléatoire et liens pour échapper à la détection
- Intégration de Captcha de tourniquet Cloudflare pour le dépistage des victimes
- Pièces jointes et liens FUD automatisés
- Panneau d’administration convivial avec journaux en temps réel et options de sauvegarde
- Plusieurs thèmes de page de connexion avec l’image de marque automatique de l’organisation (logo, arrière-plan)
Le service a mis en place plus de 5 000 domaines de phishing depuis mai 2024, facilitant diverses opérations de phishing.
Les chercheurs affirment que les campagnes de phishing associées qu’ils ont observées abusent de plates-formes légitimes de marketing par e-mail ou de comptes compromis pour diffuser des messages malveillants à des cibles.
Les messages utilisent divers leurres, notamment des notifications de partage de documents, des avis du service informatique, des alertes de réinitialisation de mot de passe et des messages liés à la paie.
Trustwave indique que ces messages utilisent une gamme de méthodes d’évasion de bloc, notamment des codes QR, l’inclusion de liens provenant de services de raccourcissement légitimes et des pièces jointes PDF.
Un défi Cloudflare turnstile est utilisé pour filtrer les robots, tandis que l’attaque inclut également probablement des vérifications IP avant que les cibles valides ne soient dirigées vers une page de phishing de connexion Microsoft 365.
Si le visiteur est considéré comme un bot, un chercheur en sécurité ou une cible hors de portée en général, il est redirigé vers une page leurre inoffensive sur le thème de la voiture.
Le JavaScript sur la page de destination déchiffre et récupère soit la page de phishing, soit le leurre sur le thème de la voiture en fonction de l’évaluation du visiteur par le serveur AiTM.
L’émergence et la prolifération de Rockstar 2FA reflètent la persistance des opérateurs de phishing, qui continuent d’offrir des services illicites malgré d’importantes opérations d’application de la loi qui ont récemment démantelé l’une des plus grandes plateformes PhaaS et arrêté ses opérateurs.
Tant que ces outils de base restent accessibles aux cybercriminels à faible coût, le risque d’opérations de phishing efficaces à grande échelle reste important.