
Una interrupción del conjunto de herramientas de phishing como servicio (PhaaS) llamado Estrella de rock 2FA ha llevado a un rápido repunte en la actividad de otra oferta incipiente llamada tormenta de flores.
“Parece que el [Rockstar2FA] El grupo que ejecuta el servicio experimentó al menos un colapso parcial de su infraestructura, y ya no se puede acceder a las páginas asociadas con el servicio”, dijo Sophos. dicho en un nuevo informe publicado la semana pasada. “Esto no parece deberse a una acción de eliminación, sino a algún fallo técnico en el backend del servicio”.
Rockstar2FA fue documentado por primera vez por Trustwave a fines del mes pasado como un servicio PhaaS que permite a los delincuentes lanzar ataques de phishing que son capaces de recopilar credenciales de cuentas de Microsoft 365 y cookies de sesión, eludiendo así las protecciones de autenticación multifactor (MFA).
Se considera que el servicio es una versión actualizada del kit de phishing DadSec, que Microsoft rastrea con el nombre Storm-1575. Se ha descubierto que la mayoría de las páginas de phishing están alojadas en .com, .de, .ru. y dominios de nivel superior .moscow, aunque se cree que el uso de dominios .ru se ha reducido con el tiempo.
Rockstar2FA parece haber sufrido una interrupción técnica el 11 de noviembre de 2024, cuando los redireccionamientos a páginas señuelo intermedias generaron errores de tiempo de espera de Cloudflare y las páginas de inicio de sesión falsificadas no se cargaron.
Si bien no está claro qué causó la interrupción, el vacío dejado por el conjunto de herramientas PhaaS ha resultado en un aumento en la actividad de phishing asociada con FlowerStorm, que ha estado activo desde al menos junio de 2024.
Sophos dijo que ambos servicios comparten similitudes en lo que respecta al formato de las páginas del portal de phishing y los métodos utilizados para conectarse a los servidores backend para la recolección de credenciales, lo que plantea la posibilidad de una ascendencia común. También abusan Torniquete Cloudflare para garantizar que las solicitudes de páginas entrantes no provengan de bots.
Se sospecha que la interrupción del 11 de noviembre representa un giro estratégico en uno de los grupos, un cambio en el personal que los dirige o un esfuerzo intencional para desacoplar las operaciones gemelas. No hay pruebas definitivas que vinculen los dos servicios en esta etapa.
Los países a los que se dirige con mayor frecuencia FlowerStorm son Estados Unidos, Canadá, Reino Unido, Australia, Italia, Suiza, Puerto Rico, Alemania, Singapur e India.
“El sector más atacado es la industria de servicios, con especial atención a las empresas que brindan servicios y consultoría de ingeniería, construcción, bienes raíces y legales”, dijo Sophos.
En todo caso, los hallazgos ilustran una vez más la tendencia actual de los atacantes a utilizar servicios cibercriminales y herramientas básicas para llevar a cabo ciberataques a escala incluso sin requerir mucha experiencia técnica.







