La sicurezza informatica è costantemente messa alla prova da nuove minacce, e una delle più recenti riguarda l'uso del phishing-as-a-service (PhaaS) per compromettere gli account Microsoft 365. Il toolkit chiamato "Rockstar 2FA" è al centro di questa nuova minaccia. I ricercatori di Trustwave hanno evidenziato come questa campagna sfrutti un attacco adversary-in-the-middle (AiTM) per intercettare le credenziali e i cookie di sessione degli utenti. Ciò significa che anche gli utenti che hanno attivato l'autenticazione a due fattori (MFA) possono essere vulnerabili.

Questo toolkit, considerato un'evoluzione del kit di phishing DadSec, è pubblicizzato su piattaforme come ICQ, Telegram e Mail.ru. Viene offerto con un modello di abbonamento a partire da 200 dollari per due settimane, rendendo accessibile il phishing a una vasta gamma di malintenzionati con poca o nessuna esperienza tecnica. Le funzionalità promosse di Rockstar 2FA includono la possibilità di bypassare l'autenticazione a due fattori, raccogliere cookie di 2FA, protezione antibot, temi delle pagine di login che imitano servizi popolari e integrazione con bot di Telegram.

Le campagne email osservate da Trustwave utilizzano diverse strategie di accesso iniziale come URL, codici QR e allegati di documenti inviati da account compromessi. Queste email utilizzano modelli di attiramento che vanno dalle notifiche di condivisione file a richieste di firme elettroniche. Per bypassare i controlli antispam, il kit utilizza reindirizzatori di link legittimi e controlli antibot tramite Cloudflare Turnstile, rendendo più difficile l'analisi automatizzata delle pagine di phishing AiTM.

Trustwave ha inoltre osservato che il kit sfrutta servizi legittimi come Atlassian Confluence, Google Docs Viewer e Microsoft OneDrive per ospitare i link di phishing, sfruttando la fiducia che gli utenti ripongono in queste piattaforme. La pagina di phishing imita da vicino quella di login del marchio imitato, nonostante le numerose offuscazioni applicate al codice HTML. I dati forniti dagli utenti sulla pagina di phishing vengono immediatamente inviati al server AiTM, e le credenziali esfiltrate vengono utilizzate per ottenere il cookie di sessione dell'account target.

Questa divulgazione arriva in concomitanza con altre campagne di phishing, come quella denominata Beluga, che utilizza allegati .HTM per rubare le credenziali di Microsoft OneDrive, inviandole a un bot di Telegram. Inoltre, link di phishing e annunci ingannevoli su social media spingono app adware come MobiDash e app finanziarie fraudolente che sottraggono dati personali e denaro.