El nuevo servicio de phishing FlowerStorm llena el vacío dejado por Rockstar2FA

Iniciado por AXCESS, Diciembre 21, 2024, 01:45:54 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 21, 2024, 01:45:54 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una nueva plataforma de phishing como servicio para Microsoft 365 llamada "FlowerStorm" está ganando popularidad y llena el vacío que dejó el cierre repentino del servicio de ciberdelincuencia Rockstar2FA.

Documentada por primera vez por Trustwave a fines de noviembre de 2024, Rockstar2FA operaba como una plataforma PhaaS que facilitaba ataques de adversario en el medio (AiTM) a gran escala dirigidos a credenciales de Microsoft 365.

El servicio ofrecía mecanismos avanzados de evasión, un panel fácil de usar y numerosas opciones de phishing, y vendía acceso a los ciberdelincuentes por $200 por dos semanas.

Según los investigadores de Sophos Sean Gallagher y Mark Parsons, Rockstar2FA sufrió un colapso parcial de la infraestructura el 11 de noviembre de 2024, lo que hizo que muchas de las páginas del servicio quedaran inaccesibles.

Sophos afirma que esto no parece ser el resultado de una acción policial contra la plataforma de ciberdelito, sino más bien de un fallo técnico.

Unas semanas más tarde, FlowerStorm, que apareció por primera vez en línea en junio de 2024, comenzó a ganar terreno rápidamente.

Detecciones de Rockstar2FA
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

¿Un posible cambio de marca de Rockstar2FA?

Sophos ha descubierto que el nuevo servicio, FlowerStorm PhaaS, comparte muchas características que ya se habían visto en Rockstar2FA, por lo que es posible que los operadores hayan cambiado su nombre para reducir la exposición.

Sophos identificó varias similitudes entre Rockstar2FA y FlowerStorm, lo que sugiere una ascendencia compartida o una superposición operativa:

Ambas plataformas utilizan portales de phishing que imitan páginas de inicio de sesión legítimas (por ejemplo, Microsoft) para recopilar credenciales y tokens MFA, y se basan en servidores backend alojados en dominios como .ru y .com. Rockstar2FA utilizó scripts PHP aleatorios, mientras que FlowerStorm estandarizó con next.php.

La estructura HTML de sus páginas de phishing es muy similar, con texto aleatorio en los comentarios, funciones de seguridad de "tornillos" de Cloudflare y mensajes como "Iniciando protocolos de seguridad del navegador". Rockstar2FA utilizó temas automotrices, mientras que FlowerStorm cambió a temas botánicos, pero el diseño subyacente sigue siendo consistente.

Los métodos de recolección de credenciales están estrechamente alineados, utilizando campos como correo electrónico, contraseña y tokens de seguimiento de sesión. Ambas plataformas admiten la validación de correo electrónico y la autenticación MFA a través de sus sistemas de backend.

Los patrones de registro y alojamiento de dominios se superponen significativamente, con un uso intensivo de dominios .ru y .com y servicios de Cloudflare. Sus patrones de actividad mostraron subidas y bajadas sincronizadas hasta finales de 2024, lo que indica una posible coordinación.

Las dos plataformas cometieron errores operativos que expusieron los sistemas de backend y demostraron una alta escalabilidad. Rockstar2FA administraba más de 2000 dominios, mientras que FlowerStorm se expandió rápidamente después del colapso de Rockstar2FA, lo que sugiere un marco compartido.

Distribución de los 10 principales dominios de phishing de Rockstar2FA por TLD
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

"No podemos vincular con mucha seguridad a Rockstar2FA y FlowerStorm, salvo señalar que los kits reflejan una ascendencia común como mínimo debido al contenido similar de los kits implementados", concluye Sophos.

"Los patrones similares de registro de dominios podrían ser un reflejo de que FlowerStorm y Rockstar trabajan en coordinación, aunque también es posible que estos patrones coincidentes hayan sido impulsados por fuerzas del mercado más que por las propias plataformas".

Surge un nuevo peligro

Cualquiera que sea la historia detrás del repentino ascenso de FlowerStorm, para los usuarios y las organizaciones, es otro facilitador de ataques de phishing dañinos que podrían conducir a ciberataques en toda regla.

La telemetría de Sophos muestra que aproximadamente el 63% de las organizaciones y el 84% de los usuarios atacados por FlowerStorm tienen su sede en Estados Unidos.

Objetivos de FlowerStorm
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Los sectores más atacados son los servicios (33%), la industria manufacturera (21%), el comercio minorista (12%) y los servicios financieros (8%).

Para protegerse contra los ataques de phishing, utilice la autenticación multifactor (MFA) con tokens FIDO2 resistentes a AiTM, implemente soluciones de filtrado de correo electrónico y utilice el filtrado de DNS para bloquear el acceso a dominios sospechosos como .ru, .moscow y .dev.

Fuente:
Sophos
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Vía:
BleepingComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario