Seien Sie vorsichtig mit diesem Rockstar 2FA-Bypass-Kit
Dieses nervige Nickelback-Lied, in dem es heißt: „Wir wollen alle nur große Rockstars sein und in Häusern auf Hügeln leben und 15 Autos fahren“, scheint gerade jetzt seltsam passend, mit der Nachricht, dass das Rockstar-2FA-Phishing-as-a- Das Service-Exploit-Kit nutzt Microsoft OneDrive und OneNote zusammen mit Google Docs, um 2FA auf Zielsystemen zu umgehen. Das wissen wir.
Das Rockstar 2FA Exploit Kit erklärt
Eine weit verbreitete Bedrohungskampagne, die einen Angreifer-in-the-Middle-Ansatz zum Stehlen von Sitzungscookies usw. nutzt Umgehen des Zwei-Faktor-AuthentifizierungsschutzesLaut einem neu veröffentlichten Bericht der Trustwave SpiderLabs-Sicherheitsforscher Diana Solomon und John Kevin Adriano wurde beobachtet, dass er das Rockstar 2FA-Phishing-as-a-Service-Kit verwendet. „Microsoft-Benutzerkonten sind das Hauptziel dieser Kampagnen“, sagten die Forscher, „da Zielbenutzer auf Zielseiten umgeleitet werden, die Microsoft 365-Anmeldeseiten nachahmen sollen.“ Allerdings stehen sowohl Google- als auch Microsoft-Benutzer im Fadenkreuz der Bedrohung, wenn es um die Rockstar-2FA-Angriffsmethode geht.
Rockstar 2FA, eine aktualisierte Version des DadSec-Phishing-Kits, wird bekanntermaßen von einem Bedrohungsakteur namens Storm-1575 verwendet. Entscheidend ist, dass Storm-1575 bekanntermaßen hinter einigen der produktivsten Phishing-Kampagnen im Jahr 2023 steckt, wobei das DadSec-Kit im Mittelpunkt steht. Angesichts der Tausenden von Abonnenten der verschiedenen Untergrundkanäle, auf denen das aktualisierte Rockstar 2FA-Kit ausgeliehen wird, ist das Risiko in diesem Jahr und darüber hinaus leicht zu verstehen. „Mit diesen Plattformen“, so die Forscher, „wird das Kit für andere Cyberkriminelle, die nach einfach einzurichtenden Phishing-Tools suchen, leicht zugänglich.“
Mit Abonnementpreisen für Rockstar 2FA ab 200 US-Dollar für einen zweiwöchigen Zugriff, wobei sowohl einmalige als auch monatliche Abonnements verfügbar sind, ist das Exploit-Kit vollgepackt: Über die Zwei-Faktor-Authentifizierungs-Bypass-Funktionalität hinaus bietet Rockstar 2FA auch kriminellen Hackern Möglichkeiten Antibot-Schutz, mehrere Anmeldeseitenthemen, zufällige Quellcodes und Anhänge, vollständig nicht erkennbare Links, Telegram-Bot-Integration und ein benutzerfreundliches Admin-Panel, sagten die Forscher.
Rockstar 2FA-Angriffsmethodik
Die Generierung von vollständig nicht erkennbaren oder FUD-Links in Phishing-Kampagnen ist einer der am meisten vermarkteten Aspekte von Rockstar 2FA. „Diese FUD-Links sind speziell dafür konzipiert, URL-basierte Erkennungssysteme zu umgehen“, sagten die Forscher, „die normalerweise nur den ursprünglichen Link untersuchen, um böswillige Absichten festzustellen.“ In der Praxis bedeutet dies, dass neben dem Missbrauch legitimer und vertrauenswürdiger Websites auch Link-Redirectors einschließlich URL-Schutzdiensten und Link-Shortenern eingesetzt werden.
Die Forscher von Trustwave SpiderLabs gaben mehrere Beispiele, darunter die drei unten hervorgehobenen Methoden, für die Verwendung des Rockstar 2FA-Kits.
Microsoft: OneDrive
Dabei wurde eine neue Methode der URL-Umleitung über OneDrive verwendet, um die URL-Verknüpfungsdateien zu hosten. „In diesem Fall“, so Trustwave, „werden ahnungslose Benutzer, die auf die URL-Datei klicken, automatisch über einen neuen Browser-Tab auf die Phishing-Landingpage weitergeleitet.“ Es handelt sich um eine nahtlose Umleitungstechnik, die die tatsächliche Ziel-URL effektiv vor dem Benutzer verbirgt.
Microsoft: OneNote
Die Angreifer verwenden einen Köder mit Dokumentmotiv, bei dem der Textkörper tatsächlich in einem Bild enthalten ist. „Das Bild ist mit einem Link zu einem OneNote-Dokument verankert“, erklärten die Forscher, „dieser bildbasierte Ansatz hilft Angreifern, textbasierte Erkennungsmechanismen zu umgehen.“
Google: Docs Viewer
Dabei handelt es sich um eine weitere Variante des Dokumentenaustausch-Themas, das von den Rockstar-2FA-Angreifern ausgenutzt wird. „Ein Google Docs Viewer-Link in der E-Mail wird verwendet, um eine schädliche PDF-Datei darzustellen, die auf einer externen Website gehostet wird“, sagten die Forscher. „Pisher haben damit begonnen, diese Funktion zu missbrauchen, die es Benutzern ermöglicht, PDF- und PowerPoint-Dateien in eine Webseite einzubetten.“
QR-Codes werden eingesetzt, um Opfer zum 2FA-Landeplatz von Rockstar zu leiten
Die Forscher von Trustwave SpiderLabs warnten außerdem, dass die Bedrohungsakteure bekanntermaßen eingesetzt haben der Missbrauch von QR-Codesetwas, das ich ohne Entschuldigung nicht als Quishing bezeichnen möchte, um die Landing-Site-URL in den Code selbst einzubetten. „Diese Methode umgeht oft herkömmliche Erkennungssysteme, die sich auf sichtbare Links konzentrieren“, sagten die Forscher. Ein gezeigtes Beispiel war ein PDF-Dokument, das ein DocuSign-Dokument nachahmen sollte und nur einen QR-Code und Anweisungen enthielt. Zwei verwenden eine Smartphone-Kamera, um das Dokument elektronisch zu signieren.
Die SpiderLabs-Forscher stellten fest, dass Angriffe, die Rockstar 2FA nutzen, oft ausgenutzt werden mehrstufige Phishing-Kettenwobei viele Phasen im Prozess verwendet werden. „Dieser mehrschichtige Ansatz nutzt verschiedene legitime Dienste aus, um bösartige Links zu hosten oder als Redirectoren zu fungieren, um der Erkennung noch weiter zu entgehen und Phishing-Seiten vor E-Mail-Gateways zu verbergen“, sagten sie.
Paul Walsh, CEO von MetaCert, war 2004 Mitbegründer der W3C Mobile Web Initiative mit der Aufgabe, Tim Berners-Lees Vision von „One Web“ weiterzuentwickeln. Walsh war in den 90er-Jahren außerdem Leiter des New Technologies-Teams bei AOL, einer der ersten Menschen, die Hacker im Internet nachahmten, und half bei der Einführung des Instant-Messenger-Clients AIM von AOL. Walsh ist fest davon überzeugt, dass der anhaltende Krieg gegen Verbraucher nichts damit zu tun hat, dass sich Phishing weiterentwickelt oder immer ausgefeilter wird, sondern vielmehr damit, dass Bedrohungsinformationen für den Phishing-Schutz grundsätzlich fehlerhaft sind. „Es ist sinnlos, sich auf historische Daten zu verlassen“, sagte Walsh, „neue URLs entziehen sich absichtlich vorhandenen Informationen.“ Mit Ausnahme der 2017 entdeckten Reverse-Proxy-Techniken, betonte Walsh, „verwenden Kriminelle keine neuen Methoden – sie nutzen lediglich Lücken in veralteten Sicherheitsstrategien aus.“ Genauer gesagt, und das ist von entscheidender Bedeutung, sagte Walsh: „Die Menschen sind nicht für Phishing verantwortlich; Schlechte Sicherheit ist schuld.“ Menschen zu raten, „vertrauenswürdigen Quellen“ zu vertrauen, ist laut Walsh fehlgeleitet und kontraproduktiv, ebenso wie das Schweben von Links, da jede halbwegs anständige Phishing-Kampagne das wahre Ziel überzeugend verbergen kann. „Es ist ebenso sinnlos, den Leuten zu sagen, sie sollen die Identität des Absenders überprüfen“, sagte Walsh, da „die meisten Phishing-Angriffe bekannte Kontakte perfekt nachahmen können.“ Der Zero-Trust-Ansatz von MetaCertsagte Walsh, behandelt jede URL als nicht vertrauenswürdig, bis sie ausdrücklich als sicher bestätigt wird.
Sie können den vollständigen Trustwave SpiderLabs-Bericht über Phishing-as-a-Service-Kits, einschließlich Rockstar 2FA, lesen, der in drei sehr detaillierte Teile unterteilt ist: Hier, Hier Und Hier. Ich empfehle Ihnen wärmstens, dies zu tun, da es sowohl eine informative Lektüre als auch eine wichtige Lektüre ist, wenn Sie auf dem Laufenden bleiben wollen, was die Bedrohungsakteure in diesem sich entwickelnden Sektor der Bedrohungslandschaft vorhaben.
