el más reciente

― Advertisement ―

Relacionada

spot_img
InicioTecnologíaEl colapso de Rockstar2FA impulsa la expansión del phishing como servicio FlowerStorm

El colapso de Rockstar2FA impulsa la expansión del phishing como servicio FlowerStorm

Una interrupción del conjunto de herramientas de phishing como servicio (PhaaS) llamado Hado de rock 2FA ha llevado a un rápido repunte en la actividad de otra ofrecimiento incipiente convocatoria tormenta de flores.

«Parece que el peña (Rockstar2FA) que ejecuta el servicio experimentó al menos un colapso parcial de su infraestructura, y las páginas asociadas con el servicio ya no son accesibles», dijo Sophos en un nuevo mensaje publicado la semana pasada. «Esto no parece deberse a una entusiasmo de matanza, sino a algún sentencia técnico en el backend del servicio».

Rockstar2FA fue documentado por primera vez por Trustwave a fines del mes pasado como un servicio PhaaS que permite a los delincuentes editar ataques de phishing que son capaces de compilar credenciales de cuentas de Microsoft 365 y cookies de sesión, eludiendo así las protecciones de autenticación multifactor (MFA).

Se considera que el servicio es una lectura actualizada del kit de phishing DadSec, que Microsoft rastrea con el nombre Storm-1575. Se ha descubierto que la mayoría de las páginas de phishing están alojadas en .com, .de, .ru. y dominios de nivel superior .moscow, aunque se cree que el uso de dominios .ru se ha corto con el tiempo.

FlowerStorm Phishing como servicio

Rockstar2FA parece sobrevenir sufrido una interrupción técnica el 11 de noviembre de 2024, cuando los redireccionamientos a páginas señuelo intermedias generaron errores de tiempo de dilación de Cloudflare y las páginas de inicio de sesión falsificadas no se cargaron.

Si adecuadamente no está claro qué causó la interrupción, el malogrado dejado por el conjunto de herramientas PhaaS ha resultado en un aumento en la actividad de phishing asociada con FlowerStorm, que ha estado activo desde al menos junio de 2024.

FlowerStorm Phishing como servicio

Sophos dijo que entreambos servicios comparten similitudes en lo que respecta al formato de las páginas del portal de phishing y los métodos utilizados para conectarse a los servidores backend para la convento de credenciales, lo que plantea la posibilidad de una ascendencia popular. Todavía abusan de Cloudflare Turnstile para certificar que las solicitudes de páginas entrantes no provengan de bots.

Leer  Actores de amenazas SaaS All-Star de 2025 a seguir

Se sospecha que la interrupción del 11 de noviembre representa un viraje táctico en uno de los grupos, un cambio en el personal que los dirige o un esfuerzo intencional para desacoplar las operaciones gemelas. No hay pruebas definitivas que vinculen los dos servicios en esta etapa.

Los países a los que se dirige con longevo frecuencia FlowerStorm son Estados Unidos, Canadá, Reino Unido, Australia, Italia, Suiza, Puerto Rico, Alemania, Singapur e India.

«El sector más atacado es la industria de servicios, con singular atención a las empresas que brindan servicios y consultoría de ingeniería, construcción, ingresos raíces y legales», dijo Sophos.

En todo caso, los hallazgos ilustran una vez más la tendencia coetáneo de los atacantes a utilizar servicios cibercriminales y herramientas básicas para aceptar a agarradera ciberataques a escalera incluso sin requerir mucha experiencia técnica.

El más popular

spot_img