Pesquisadores de cibersegurança identificaram campanhas maliciosas de e-mail utilizando um kit de phishing como serviço (PhaaS) chamado Rockstar 2FA. O objetivo é roubar credenciais de contas Microsoft 365, mesmo de usuários que utilizam autenticação multifator (MFA).
"Essa campanha emprega um ataque do tipo ‘adversário no meio’ (AiTM), permitindo que os atacantes interceptem credenciais e cookies de sessão. Isso significa que, mesmo com MFA habilitado, os usuários ainda podem estar vulneráveis", explicaram Diana Solomon e John Kevin Adriano, da Trustwave.
O Rockstar 2FA é uma versão atualizada do kit de phishing DadSec (também conhecido como Phoenix). A Microsoft monitora os desenvolvedores dessa plataforma sob o codinome Storm-1575.
Esse kit é comercializado por meio de serviços como ICQ, Telegram e Mail.ru, sob um modelo de assinatura que custa US$ 200 por duas semanas ou US$ 350 por mês. Ele permite que cibercriminosos com pouca ou nenhuma experiência técnica realizem campanhas em larga escala.
Principais recursos do Rockstar 2FA:
Bypass de autenticação em dois fatores (2FA);
Coleta de cookies relacionados ao 2FA;
Proteção contra bots;
Temas de páginas de login que imitam serviços populares;
Links indetectáveis (FUD);
Integração com bots no Telegram;
Painel administrativo moderno e fácil de usar, permitindo acompanhar campanhas, gerar URLs e personalizar temas de phishing.
Métodos e táticas
As campanhas utilizam diferentes vetores de ataque, como URLs, códigos QR e anexos de documentos, enviados por contas comprometidas ou ferramentas de spam. Os e-mails incluem iscas como notificações de compartilhamento de arquivos ou pedidos de assinatura eletrônica.
Para evitar a detecção por antispam, os criminosos usam redirecionadores legítimos (como URLs encurtadas ou serviços de reescrita de URLs) e verificações antibot, com ferramentas como o Cloudflare Turnstile.
Além disso, o kit hospeda links de phishing em serviços confiáveis como Atlassian Confluence, Google Docs Viewer, Microsoft OneDrive, OneNote e Dynamics 365 Customer Voice. Isso explora a confiança que os usuários têm nesses serviços.
"As páginas de phishing são projetadas para imitar de forma quase idêntica as páginas de login das marcas-alvo, apesar das várias camadas de ofuscação no código HTML. Todos os dados inseridos pelos usuários são enviados diretamente para o servidor AiTM, e as credenciais roubadas são usadas para obter o cookie de sessão da conta-alvo", explicaram os pesquisadores.
Outros ataques relacionados
A Malwarebytes identificou outra campanha chamada Beluga, que utiliza anexos .HTM para enganar os usuários a inserir credenciais do Microsoft OneDrive em formulários falsos.
Links de phishing e anúncios de jogos de apostas em redes sociais também promovem aplicativos fraudulentos que roubam dados pessoais e financeiros, prometendo retornos rápidos.
"Esses jogos de apostas parecem oportunidades legítimas para ganhar dinheiro, mas são projetados para induzir os usuários a depositar fundos que eles nunca verão novamente", afirmou Mahmoud Mosaad, analista do Group-IB CERT.
Os golpes podem levar a perdas financeiras significativas, com algumas vítimas relatando prejuízos superiores a US$ 10 mil.
Via - THN
Comments