Il recente collasso del servizio di phishing-as-a-service (PhaaS) noto come Rockstar2FA ha provocato un incremento nell'attività di un altro servizio emergente chiamato FlowerStorm. Secondo quanto riportato, il gruppo responsabile di Rockstar2FA ha subito un parziale collasso della propria infrastruttura, con le pagine associate al servizio che non sono più accessibili. Non sembra che questo sia stato causato da un'azione di smantellamento, ma piuttosto da un problema tecnico nel backend del servizio.

Documentazione di Rockstar2FA

Rockstar2FA era stato documentato per la prima volta da Trustwave come un servizio PhaaS che consente agli attori criminali di lanciare attacchi di phishing mirati a ottenere le credenziali di accesso ai conti Microsoft 365 e i cookie di sessione, aggirando così le protezioni offerte dall'autenticazione multi-fattore (MFA). Questo servizio è considerato una versione aggiornata del kit di phishing DadSec, già noto a Microsoft con il nome Storm-1575. La maggior parte delle pagine di phishing sono state ospitate su domini di primo livello .com, .de, .ru e .moscow, con un uso decrescente dei domini .ru nel tempo.

Dettagli del collasso

Il collasso tecnico di Rockstar2FA sembra essere avvenuto l'11 novembre 2024, quando i reindirizzamenti verso pagine intermedie fasulle hanno generato errori di timeout di Cloudflare e le pagine di login false non sono riuscite a caricare. Sebbene non sia chiaro cosa abbia causato questa interruzione, il vuoto lasciato dal toolkit PhaaS ha portato a un aumento dell'attività di phishing associata a FlowerStorm, attivo almeno dal giugno 2024.

Similitudini e differenze

Sia Rockstar2FA che FlowerStorm condividono similitudini nel formato delle pagine del portale di phishing e nei metodi utilizzati per connettersi ai server di backend per la raccolta di credenziali, suggerendo la possibilità di un'origine comune. Entrambi i servizi sfruttano Cloudflare Turnstile per assicurarsi che le richieste di pagina in arrivo non provengano da bot.

Implicazioni strategiche

L'interruzione del 11 novembre potrebbe rappresentare un cambiamento strategico in uno dei gruppi, un cambiamento nel personale che li gestisce o uno sforzo intenzionale per separare le operazioni gemelle. Tuttavia, non ci sono prove definitive che colleghino i due servizi in questa fase.

Paesi e settori colpiti

I paesi più frequentemente presi di mira utilizzando FlowerStorm includono Stati Uniti, Canada, Regno Unito, Australia, Italia, Svizzera, Porto Rico, Germania, Singapore e India. Il settore più colpito è quello dei servizi, con particolare attenzione alle aziende che forniscono servizi di ingegneria, costruzione, immobiliare, servizi legali e consulenza.

Questi risultati illustrano nuovamente la tendenza in corso degli attaccanti a utilizzare servizi cybercriminali e strumenti di base per eseguire attacchi su vasta scala, anche senza richiedere grandi competenze tecniche.