Rockstar 2FA : ce nouveau service de phishing cible les comptes Microsoft 365 !
Une nouvelle plateforme de type Phishing-as-a-service surnommée "Rockstar 2FA" a été découverte ! Elle facilite la mise en place de campagnes malveillantes pour voler les identifiants des utilisateurs de Microsoft 365. Faisons le point sur cette menace.
Une nouvelle plateforme PhaaS pour Microsoft 365
À l'instar d'autres plateformes PhaaS, Rockstar 2FA permet aux attaquants de contourner l'authentification multifacteurs sur Microsoft 365, grâce à l'interception des cookies de session de l'utilisateur.
Pour cela, le pirate se positionne en tant que man-in-the-middle lors de l'attaque, car son serveur va se comporter comme un proxy. Il va transmettre les identifiants au service légitime de Microsoft, les identifiants saisis par l'utilisateur sur la fausse page de connexion Microsoft 365. Cela va lui permettre d'achever le processus d'authentification, puis de capturer le cookie retourné à la fin du processus d'authentification.
À partir de là, l'attaquant peut se connecter au compte de l'utilisateur grâce à ce cookie, sans avoir besoin de connaitre réellement les identifiants, et sans être perturbé par le MFA.
Ce que vous devez savoir sur Rockstar 2FA
D'après les équipes de chez Trustwave, la plateforme Rockstar 2FA est une version mise à jour des kits de phishing nommés DadSec et Phoenix, qui ont respectivement fait leur apparition au début et à la fin de l'année 2023.
La lecture de ce nouveau rapport permet de comprendre que Rockstar 2FA a beaucoup gagné en popularité depuis août 2024. Désormais, les abonnements à cette plateforme sont proposés à 200 dollars pour deux semaines ou 180 dollars pour le renouvellement de l'accès à l'API. Pour tenter de trouver des clients et faire la promotion de leur plateforme, les pirates utilisent Telegram, ce qui n'est pas une surprise.
Associé à plus de 5 000 domaines prêts à l'emploi pour être utilisé dans le cadre de campagnes de phishing, Rockstar 2FA dispose des capacités suivantes :
- Prise en charge de Microsoft 365, Hotmail, Godaddy, SSO
- Code source et liens aléatoires pour éviter la détection
- Intégration de Cloudflare Turnstile Captcha pour le filtrage des victimes
- Pièces jointes et liens FUD automatisés
- Panneau d'administration convivial avec journaux en temps réel et options de sauvegarde
- Thèmes de pages de connexion multiples avec marquage automatique de l'organisation (logo, arrière-plan)
De plus, d'après les chercheurs, tout est fait pour optimiser l'envoi des e-mails et le contournement des outils de sécurité. On peut notamment citer l'utilisation de liens courts générés depuis des services légitimes, ou encore l'utilisation de pièces jointes au format PDF.
Le serveur est également capable de différencier les utilisateurs, c'est-à-dire les victimes, des bots. Ainsi, si un bot se connecte à la fausse page de connexion, il est alors redirigé vers une page leurre, toute simple, mais qui ne présente aucun risque.
Avec des plateformes comme Rockstar 2FA, les campagnes de phishing sont malheureusement à la portée de beaucoup de personnes malintentionnées. Cela est d'autant plus vrai que le tarif proposé pour un abonnement est faible, quand on connait l'impact qu'il y a suite à une telle attaque.
