Phishing-as-a-Service “Rockstar 2FA” Targets Microsoft 365 Users with AiTM Attacks
2024/11/29 TheHackerNews — Microsoft 365 アカウントの認証情報を盗むことを目的とし、Rockstar 2FA と呼ばれる PhaaS (phishing-as-a-service) ツールキットを利用する、悪意のメール・キャンペーンについて、サイバー・セキュリティ研究者たちが警告している。Trustwave の研究者である Diana Solomon と John Kevin Adriano は、「このキャンペーンでは AitM [adversary-in-the-middle] 攻撃が採用され、攻撃者はユーザーの認証情報とセッション Cookie の傍受を達成する。つまり、多要素認証 (MFA) が有効化されているユーザーであっても、脆弱になる可能性がある」と述べている。
DadSec (別名 Phoenix) フィッシング・キットの更新バージョンが、この Rockstar 2FA であると推定されている。Microsoft も、Storm-1575 という名前で、Dadsec PhaaS プラットフォームの開発者/配布者を追跡している。
このフィッシング・キットは、以前のキットと同様に、2週間で $200 もしくは1ヶ月で $350 ドルのサブスクリプション・モデルで提供できると、ICQ/Telegram/Mail.ru などのサービスを通じて宣伝されている。それにより、技術的な専門知識がほとんどないサイバー犯罪者であっても、大規模なキャンペーンの展開が可能になる。
Rockstar 2FA が宣伝している機能には、2FAバイパス/2FA クッキー収集/ボット対策/人気サービスを模倣するログイン・ページ・テーマ/検出不可能な (FUD) リンク/Telegram ボット統合などがある。
さらに、最新のユーザー・フレンドリーな管理パネルにより、フィッシング・キャンペーンのステータス追跡や、URL や添付ファイルの生成、作成したリンクに適用されるテーマのカスタマイズなどが可能だとも主張している。
Trustwave が発見した電子メール・キャンペーンで活用されているものには、侵害済のアカウントやスパム・ツールから送信されるメッセージに埋め込まれた、URL/QR Code/ドキュメント添付ファイルといった、各種のイニシャル・アクセス・ベクターのための仕掛けがある。この種のメールでは、ファイル共有通知から電子署名の要求にいたるまでの、さまざまなルアー ・テンプレートを使用されている。
また、スパム検出を回避するメカニズムとして、正規のリンクをリダイレクトするための、短縮 URL/オープン・リダイレクト/URL 保護サービス/URL 書き換えサービスなどが使用されている。さらには、AitM フィッシング・ページの自動分析を阻止するために Cloudflare Turnstile を悪用する、アンチボット・チェックも組み込まれている。
この悪意のプラットフォームが、フィッシング・リンクをホストする正規のサービスとしては、Atlassian Confluence/Google Docs Viewer/LiveAgent/Microsoft OneDrive/OneNote/Dynamics 365 Customer Voice などが確認されたと、Trustwave は述べている。この種の正規プラットフォームに与えられた信頼を、この脅威アクターは悪用していると、同社は強調している。
研究者たちは、「一連のフィッシング・ページのデザインは、HTML コードに多数の難読化が適用されているが、模倣するブランドのサインイン・ページに酷似している。 それらのフィッシング・ページで、ユーザーが提供したすべてのデータは、直ちに AiTM サーバに送信される。続いて、盗み出された認証情報を悪用することで、ターゲット・アカウントのセッション Cookie が取得される」と述べている。
先日には Malwarebytes が、Beluga と呼ばれるフィッシング・キャンペーンの詳細を発表している。その攻撃は、”.HTM” 添付ファイルを介して電子メール受信者をだまし、偽のログイン・フォームで Microsoft OneDrive の認証情報を入力させ、その後に、Telegram ボットで盗み出すというものだ。
ソーシャル・メディア上のフィッシング・リンクや、欺瞞的な賭けゲームの広告、MobiDash などのアドウェア・アプリが、短期間での金銭的な利益を約束する、不正な金融アプリをプッシュして、個人データや現金を盗み出すことも判明している。
Group-IB CERT のアナリストである Mahmoud Mosaad は、「宣伝されている賭けゲームは、現金を勝ち取る正当な機会だと視聴しているが、ユーザーから資金を騙し取るように設計されており、その資金は二度と戻らないという可能性がある。詐欺師たちは、これらの不正な Web アプリ/サイトを通じて、登録手続き中にユーザーの個人情報と金融情報を盗み出す。それにより被害者には、多額の金銭的損失を被る可能性が生じ、US$10,000 を超える損失を報告する人もいるほどだ」と述べている。
ユーザーが 2FA を利用していることを前提とした、Rockstar 2FA という Phishing-as-a-Service が登場したようです。有名ブランドを巧妙に装う、偽のログイン・ページなども、キットの一部として提供されるとのことですので、誰であっても、大規模で成功率の高いキャンペーンを施行できます。信じて良いものを、どこまで絞り込めるのか、それぞれのユーザーが考える他に、手はなさそうですね。よろしければ、Phishing で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.