Devis de remise multi-licences
Données concernant les menaces Hameçonnage Boîte à outils PhaaS Rockstar 2FA

Boîte à outils PhaaS Rockstar 2FA

Par Mezo en Hameçonnage
Se traduisent par :
Français

Les experts en cybersécurité s'inquiètent d'un danger croissant : les campagnes de courrier électronique menaçantes utilisant une boîte à outils de phishing en tant que service (PhaaS) connue sous le nom de Rockstar 2FA. Cette boîte à outils, conçue pour collecter les identifiants de compte Microsoft 365, représente une approche avancée des attaques de phishing.

En exploitant les techniques d'Adversary-in-The-Middle (AiTM), Rockstar 2FA permet aux attaquants d'intercepter les identifiants des utilisateurs et les cookies de session. Il est alarmant de constater que même les comptes protégés par l'authentification multifacteur (MFA) sont vulnérables à ces attaques, ce qui illustre la sophistication croissante des opérations cybercriminelles.

Évolution de DadSec à Rockstar 2FA

Rockstar 2FA semble être une version améliorée du kit de phishing DadSec, également connu sous le nom de Phoenix. Microsoft traque activement ses créateurs et distributeurs sous le nom de code Storm-1575.

Fidèle à son modèle PhaaS, Rockstar 2FA est commercialisé sur des plateformes comme ICQ, Telegram et Mail.ru. Pour un abonnement de 200 $ pour deux semaines ou 350 $ pour un mois, il permet même aux cybercriminels inexpérimentés de lancer des campagnes de phishing à grande échelle avec des connaissances techniques minimales.

Principales caractéristiques qui renforcent les cybercriminels

Les développeurs de Rockstar 2FA proposent de nombreuses fonctionnalités conçues pour améliorer l'efficacité des campagnes de phishing. Il s'agit notamment de :

  • Contournement 2FA : outils pour contourner les défenses d'authentification multifacteur.
  • Détournement de session : collecte de cookies pour obtenir un accès non autorisé.
  • Protection Antibot : Mécanismes pour bloquer les analyses de sécurité automatisées.
  • Pages de connexion personnalisables : thèmes imitant des marques et des services de confiance.
  • Intégration Telegram : notifications et mises à jour via les bots Telegram.

De plus, son « panneau d'administration moderne et convivial » permet aux utilisateurs de gérer efficacement leurs campagnes, de la génération de liens de phishing à la personnalisation des modèles pour une plus grande authenticité.

Exploiter la confiance grâce à des outils familiers

L’une des tactiques les plus remarquables employées par les campagnes 2FA de Rockstar est l’utilisation stratégique de plateformes de confiance telles qu’Atlassian Confluence, Google Docs Viewer, Microsoft OneDrive, OneNote et Dynamics 365 Customer Voice pour héberger des liens de phishing. En intégrant des URL malveillantes dans ces services réputés, les attaquants capitalisent sur la confiance que les utilisateurs leur accordent, augmentant ainsi les chances de réussite d’une compromission.

Des tactiques sophistiquées pour échapper à la détection

Les campagnes Rockstar 2FA utilisent diverses méthodes pour diffuser des leurres de phishing. Celles-ci incluent :

  • URL intégrées : liens intégrés dans des e-mails qui semblent légitimes.
  • Codes QR : une version moderne du phishing, contournant l'analyse traditionnelle des liens.
  • Pièces jointes : fichiers conçus pour inciter les utilisateurs à cliquer.

Pour échapper encore plus à la détection, la boîte à outils intègre des techniques telles que les contrôles anti-bots à l'aide de Cloudflare Turnstile et des redirecteurs légitimes tels que les raccourcisseurs d'URL et les services de réécriture d'URL. Ces mesures aident les pages de phishing à échapper aux filtres antispam et aux outils d'analyse automatisée des menaces.

Imiter les marques avec précision

Les pages de phishing de Rockstar 2FA sont soigneusement conçues pour imiter les pages de connexion des services les plus populaires. Malgré l'obscurcissement appliqué au code HTML, ces pages conservent un haut degré d'authenticité. Une fois qu'un utilisateur saisit ses identifiants, les données sont transmises à un serveur AiTM en temps réel. Les identifiants collectés sont ensuite utilisés pour extraire les cookies de session, ce qui permet aux attaquants d'accéder au compte de la victime sans déclencher de défis d'authentification supplémentaires.

Appel à la vigilance

L’émergence de Rockstar 2FA souligne la nécessité pour les organisations et les particuliers de rester vigilants. Les tactiques de phishing avancées telles que les attaques AiTM peuvent contourner les mesures de sécurité traditionnelles, ce qui rend essentielle l’adoption d’une approche multicouche pour la protection des comptes. Une formation régulière des utilisateurs, ainsi que des outils de détection avancés, jouent un rôle essentiel dans l’atténuation de ces menaces.

Tendance

Le plus regardé

Chargement...