После отключения хакерского ресурса Rockstar2FA, предоставлявшего услуги фишинга для Microsoft 365 (PhaaS), внимание акцентировалось на новой кибер-угрозе — платформе под названием FlowerStorm, впервые обнаруженной в июне уходящего года.
В конце ноября аналитики компании Trustwave обнаружили платформу Rockstar2FA, функционирующую по модели «Фишинг-как-услуга» (PhaaS) и направленную на пользователей Microsoft 365. Платформа предоставляла своим «клиентам» широкий спектр инструментов для проведения фишинговых атак, включая усовершенствованные механизмы маскировки и гибкие настройки. Стоимость доступа к платформе составляла $200 за двухнедельный период.
По информации исследователей компании Sophos, 11 ноября инфраструктура Rockstar2FA частично вышла из строя, что привело к прекращению работы сервиса. Эксперты полагают, что причиной сбоя стал технический инцидент, а не действия правоохранительных органов. Спустя несколько недель после возникновения проблем у Rockstar2FA популярность среди кибер-преступников начала набирать платформа FlowerStorm, впервые замеченная в сети в июне.
Платформа FlowerStorm начала активно распространяться среди злоумышленников и демонстрирует множество сходств с предшественником: обе используют фишинговые сайты-дублеры, имитирующие подлинные страницы входа Microsoft 365.
Анализ показывает схожие технические особенности:
Сбор данных осуществляется через поля для email, пароля и МФА (Multi-Factor Authentication) токенов. Обе системы поддерживают валидацию электронной почты и аутентификацию с использованием MFA.
Параллельно растущая активность платформ указывает на возможную связь между их операторами, что подтверждается ошибками в бэкэнде обеих систем. После закрытия Rockstar2FA (управлявшей более 2 тыс. доменов), FlowerStorm быстро расширилась, охватывая преимущественно США — около 63% организаций и 84% пользователей находятся там.
Эксперты предполагают ребрендинг PhaaS-платформы в связи с обнаруженными совпадениями.
Ранее появилась информация, что кибер-преступники стали похищать криптовалюту у других похитителей криптовалюты, «маскируясь» в интернете под неопытных криптовалютчиков. А специалисты «Лаборатории Касперского» уже перечислили главные IT-угрозы наступающего 2025 года: злоумышленники будут чаще использовать в атаках устройства интернета вещей (IoT), технологии искусственного интеллекта, а также чаще встраиваться в цепочки поставок решений с открытым кодом.