Microsoft 365 kimlik bilgilerini çalmak için ortada büyük ölçekli düşman (AITM) saldırılarını kolaylaştıran 'Rockstar 2FA' adlı yeni bir Hizmet Olarak Kimlik Yardım (PHAAS) platformu ortaya çıktı.
Diğer AITM platformları gibi, Rockstar 2FA da saldırganların geçerli oturum çerezlerini ele geçirerek hedeflenen hesaplarda çok faktörlü kimlik doğrulama (MFA) korumalarını atlamalarını sağlar.
Bu saldırılar, kurbanları Microsoft 365'i taklit eden ve kimlik bilgilerini girmeye kandıran sahte bir giriş sayfasına yönlendirerek çalışır.
AITM sunucusu, kimlik doğrulama işlemini tamamlamak için bu kimlik bilgilerini Microsoft'un meşru hizmetine ileterek bir proxy görevi görür ve daha sonra hedefin tarayıcısına geri gönderildiğinde çerezi yakalar.
Bu çerez daha sonra tehdit aktörleri tarafından, MFA korumalı olsa bile, mağdurun hesabına doğrudan erişim için kullanılabilir.
Trustwave, Rockstar 2FA'nın aslında 2023'ün erken ve sonlarında çekiş kazanan PHISHISH kitleri Dadsec ve Phoenix'in güncellenmiş bir versiyonu olduğunu bildiriyor.
Araştırmacılar, Rockstar 2FA'nın Ağustos 2024'ten bu yana siber suç topluluğunda önemli bir popülerlik kazandığını ve iki hafta boyunca 200 dolara veya API erişim yenilemesi için 180 dolara satış yaptığını söylüyor.
Hizmet, diğer yerlerin yanı sıra, şunlar gibi uzun bir özellik listesine sahip olan telgrafta tanıtılmaktadır:
Hizmet, Mayıs 2024'ten bu yana çeşitli kimlik avı operasyonlarını kolaylaştıran 5.000'den fazla kimlik avı alanı kurdu.
Araştırmacılar, kötü amaçlı mesajların hedeflere yayılması için meşru e -posta pazarlama platformlarını kötüye kullandıklarını veya tehlikeye atılmış hesapları gözlemlediklerini söylüyor.
Mesajlar, belge paylaşım bildirimleri, BT departmanı bildirimleri, şifre sıfırlama uyarıları ve bordro ile ilgili mesajlar dahil olmak üzere çeşitli yemler kullanır.
Trustwave, bu mesajların QR kodları, meşru kısaltma hizmetlerinden bağlantıların dahil edilmesi ve PDF ekleri dahil olmak üzere bir dizi blok kaçırma yöntemini kullandığını söylüyor.
Botları filtrelemek için bir CloudFlare Turnstile Challenge kullanılırken, saldırı da geçerli hedefler bir Microsoft 365 giriş kimlik avı sayfasına yönlendirilmeden önce IP kontrollerini içerir.
Ziyaretçi bir bot, güvenlik araştırmacısı veya genel olarak kapsam dışı bir hedef olarak kabul edilirse, bunun yerine zararsız bir araba temalı tuzak sayfasına yönlendirilirler.
Açılış sayfasındaki JavaScript, AITM sunucusunun ziyaretçiyi değerlendirmesine dayanarak kimlik avı sayfasını veya otomobil temalı tuzağı şifresini çözer ve alır.
Rockstar 2FA'nın ortaya çıkması ve çoğalması, son zamanlarda en büyük PHAAS platformlarından birini düşüren ve operatörlerini tutuklayan önemli kolluk operasyonlarına rağmen yasadışı hizmetler sunmaya devam eden kimlik avı operatörlerinin kalıcılığını yansıtıyor.
Bu emtia aletleri düşük maliyetle siber suçlular için erişilebilir olmaya devam ettiği sürece, büyük ölçekli etkili kimlik avı operasyonları riski önemlidir.
Microsoft, Hizmet Olarak OnNX Kimlik Avı Altyapısı
Yeni Mamba 2fa Bypass Service Microsoft 365 Hesapları Hedefleri
Roman Kimlik Yardım Kampanyası, güvenlikten kaçınmak için bozuk kelime belgeleri kullanıyor
Bangkok büstleri sms blaster bir minibüsden 1 milyon aldatmaca metin göndererek
Kimlik avı e -postaları, kaçınma tespitinden kaçınan SVG eklerini kullanıyor
Kaynak: Bleeping Computer