‫ سرویس فیشینگ جدید FlowerStorm مایکروسافت جای خالی Rockstar2FA را پر می‌کند

پلتفرم جدید مایکروسافت 365 فیشینگ به عنوان یک سرویس به نام"FlowerStorm" در حال افزایش محبوبیت است و خلاء ناشی از خاموش شدن ناگهانی سرویس جرایم سایبریRockstar2FA را پر می‌کند.

اولین بار توسطTrustwave در اواخر نوامبر 2024 مستند شد، Rockstar2FA به عنوان یک پلتفرمPhaaS عمل کرد که حملات در مقیاس بزرگ دشمن در وسط(AiTM) را که اعتبارنامه مایکروسافت 365 را هدف قرار می‌داد، تسهیل می‌کرد.

این سرویس مکانیسم‌های فرار پیشرفته، یک پنل کاربرپسند و گزینه‌های فیشینگ متعدد را ارائه می‌کرد که دسترسی مجرمان سایبری را به قیمت 200 دلار در دو هفته به فروش می‌رساند.

به گفته محققانSophos شان گالاگر و مارک پارسونز، Rockstar2FA در 11 نوامبر 2024 دچار فروپاشی جزئی زیرساخت شد و بسیاری از صفحات این سرویس را غیرقابل دسترس کرد.سوفوس می‌گوید که به نظر نمی‌رسد این نتیجه اقدام مجری قانون علیه پلتفرم جرایم سایبری باشد، بلکه یک نقص فنی است. چند هفته بعد، FlowerStorm، که برای اولین بار در ژوئن 2024 به صورت آنلاین ظاهر شد، به سرعت شروع به جلب توجه کرد.

تغییر نام تجاریRockstar2FA ممکن است؟
Sophos دریافته است که سرویس جدید، FlowerStorm PhaaS، دارای بسیاری از ویژگی‌هایی است که قبلاً درRockstar2FA دیده شده بود، بنابراین ممکن است اپراتورها برای کاهش قرار گرفتن در معرض، تحت نام جدیدی تغییر نام دهند.

سوفوس چندین شباهت را بینRockstar2FA وFlowerStorm شناسایی کرد که نشان می‌دهد یک تبار مشترک یا همپوشانی عملیاتی وجود دارد:

1.هر دو پلتفرم از پورتال‌های فیشینگ تقلید از صفحات ورود قانونی (مانند مایکروسافت) برای جمع‌آوری اعتبارنامه‌ها و نشانه‌هایMFA، با تکیه بر سرورهای باطن میزبانی شده در دامنه‌هایی مانند.ru و.com استفاده می‌کنند. Rockstar2FA از اسکریپت‌های تصادفیPHP استفاده کرد، در حالی کهFlowerStorm باnext.php استاندارد شد.
2.ساختارHTML صفحات فیشینگ آنها بسیار مشابه است، شامل متن تصادفی در نظرات، ویژگی‌های امنیتیCloudflare "turnstile" و اعلان‌هایی مانند"Initializing Protocols Security مرورگر". Rockstar2FA از تم های خودرو استفاده می‌کرد، در حالی کهFlowerStorm به تم‌های گیاه شناسی تغییر می‌کرد، اما طراحی زیربنایی ثابت است.
3.روش‌های جمع‌آوری اعتبار با استفاده از فیلدی‌هایی مانند ایمیل، پاس و توکن‌های ردیابی جلسه، با یکدیگر هماهنگ هستند. هر دو پلتفرم از اعتبارسنجی ایمیل و احراز هویتMFA از طریق سیستم های باطن خود پشتیبانی می‌کنند.
4.الگوهای ثبت دامنه و میزبانی با استفاده زیاد از دامنه‌های.ru و.com و خدماتCloudflare به طور قابل توجهی همپوشانی دارند. الگوهای فعالیت آنها افزایش و کاهش همزمان را تا اواخر سال 2024 نشان داد که نشان دهنده هماهنگی بالقوه است.
5.این دو پلتفرم اشتباهات عملیاتی را مرتکب شدند که سیستم‌های باطن را در معرض دید قرار دادند و مقیاس‌پذیری بالایی را نشان دادند. Rockstar2FA بیش از 2000 دامنه را مدیریت کرد، در حالی کهFlowerStorm پس از فروپاشیRockstar2FA به سرعت گسترش یافت و یک چارچوب مشترک را پیشنهاد کرد.

Sophos در پایان می‌گوید: «ما نمی‌توانیم با اطمینان بالاRockstar2FA وFlowerStorm را به هم پیوند دهیم، به جز اینکه بدانیم این کیت‌ها حداقل منعکس کننده یک اصل و نسب مشترک هستند، زیرا محتوای مشابه کیت‌های به کار رفته است.

"الگوهای مشابه ثبت دامنه می‌تواند بازتابی از همکاریFlowerStorm وRockstar باشد، اگرچه ممکن است این الگوهای تطبیق بیشتر توسط نیروهای بازار انجام شده باشد تا خود پلتفرم‌ها."

خطر جدیدی بالا می‌رود
هرچه که داستان پشت ظهور ناگهانیFlowerStorm باشد، برای کاربران و سازمان‌ها، این یک عامل دیگر برای حملات مخرب فیشینگ است که می‌تواند منجر به حملات سایبری تمام عیار شود.

تله متریSophos نشان می‌دهد که تقریباً 63٪ از سازمان ها و 84٪ از کاربران هدفFlowerStorm در ایالات متحده مستقر هستند.

بیشترین بخش خدمات (33%)، تولید (21%)، خرده فروشی (12%) و خدمات مالی (8%) هستند.

برای محافظت در برابر حملات فیشینگ، از احراز هویت چند عاملی(MFA) با توکن‌هایFIDO2 مقاوم در برابرAiTM استفاده کنید، راه‌حل‌های فیلتر ایمیل را بکار ببرید و از فیلترDNS برای مسدود کردن دسترسی به دامنه‌های مشکوک مانند.ru، .moscow و.dev استفاده کنید.

منبع

بلیپینگ کامپیوتر