Seien Sie vorsichtig mit diesem Rockstar 2FA-Bypass-Kit
Update, 30. November 2024: Diese Geschichte, die ursprünglich am 29. November veröffentlicht wurde, enthält jetzt weitere Informationen darüber, wie Hacker Ihren Zwei-Faktor-Authentifizierungsschutz bei Angriffen wie solchen mit dem Rockstar 2FA-Exploit-Kit umgehen können.
Dieses nervige Nickelback-Lied, in dem es heißt: „Wir wollen alle nur große Rockstars sein und in Häusern auf Hügeln leben und 15 Autos fahren“, scheint gerade jetzt seltsam passend, mit der Nachricht, dass das Rockstar-2FA-Phishing-as-a- Das Service-Exploit-Kit nutzt Microsoft OneDrive und OneNote zusammen mit Google Docs, um 2FA auf Zielsystemen zu umgehen. Folgendes wissen wir.
Das Rockstar 2FA Exploit Kit erklärt
Eine weit verbreitete Bedrohungskampagne, die einen Angreifer-in-the-Middle-Ansatz zum Stehlen von Sitzungscookies usw. nutzt Umgehen des Zwei-Faktor-AuthentifizierungsschutzesLaut einem neu veröffentlichten Bericht der Trustwave SpiderLabs-Sicherheitsforscher Diana Solomon und John Kevin Adriano wurde beobachtet, dass er das Rockstar 2FA-Phishing-as-a-Service-Kit verwendet. „Microsoft-Benutzerkonten sind das Hauptziel dieser Kampagnen“, sagten die Forscher, „da Zielbenutzer auf Zielseiten umgeleitet werden, die Microsoft 365-Anmeldeseiten nachahmen sollen.“ Allerdings stehen sowohl Google- als auch Microsoft-Benutzer im Fadenkreuz der Bedrohung, wenn es um die Rockstar-2FA-Angriffsmethode geht.
Rockstar 2FA, eine aktualisierte Version des DadSec-Phishing-Kits, wird bekanntermaßen von einem Bedrohungsakteur namens Storm-1575 verwendet. Entscheidend ist, dass Storm-1575 bekanntermaßen hinter einigen der produktivsten Phishing-Kampagnen im Jahr 2023 steckt, wobei das DadSec-Kit im Mittelpunkt steht. Angesichts der Tausenden von Abonnenten der verschiedenen Untergrundkanäle, auf denen das aktualisierte Rockstar 2FA-Kit ausgeliehen wird, ist das Risiko in diesem Jahr und darüber hinaus leicht zu verstehen. „Mit diesen Plattformen“, so die Forscher, „wird das Kit für andere Cyberkriminelle, die nach einfach einzurichtenden Phishing-Tools suchen, leicht zugänglich.“
Mit Abonnementpreisen für Rockstar 2FA ab 200 US-Dollar für einen zweiwöchigen Zugriff, wobei sowohl einmalige als auch monatliche Abonnements verfügbar sind, ist das Exploit-Kit vollgepackt: Über die Zwei-Faktor-Authentifizierungs-Bypass-Funktionalität hinaus bietet Rockstar 2FA auch kriminellen Hackern Möglichkeiten Antibot-Schutz, mehrere Anmeldeseitenthemen, zufällige Quellcodes und Anhänge, vollständig nicht erkennbare Links, Telegram-Bot-Integration und ein benutzerfreundliches Admin-Panel, sagten die Forscher.
Rockstar 2FA-Angriffsmethodik
Die Generierung von vollständig nicht erkennbaren oder FUD-Links in Phishing-Kampagnen ist einer der am meisten vermarkteten Aspekte von Rockstar 2FA. „Diese FUD-Links sind speziell dafür konzipiert, URL-basierte Erkennungssysteme zu umgehen“, sagten die Forscher, „die normalerweise nur den ursprünglichen Link untersuchen, um böswillige Absichten festzustellen.“ In der Praxis bedeutet dies, dass neben dem Missbrauch legitimer und vertrauenswürdiger Websites auch Link-Redirectors einschließlich URL-Schutzdiensten und Link-Shortenern eingesetzt werden.
Die Forscher von Trustwave SpiderLabs gaben mehrere Beispiele, darunter die drei unten hervorgehobenen Methoden, für die Verwendung des Rockstar 2FA-Kits.
Microsoft: OneDrive
Dabei wurde eine neue Methode der URL-Umleitung über OneDrive verwendet, um die URL-Verknüpfungsdateien zu hosten. „In diesem Fall“, so Trustwave, „werden ahnungslose Benutzer, die auf die URL-Datei klicken, automatisch über einen neuen Browser-Tab auf die Phishing-Landingpage weitergeleitet.“ Es handelt sich um eine nahtlose Umleitungstechnik, die die tatsächliche Ziel-URL effektiv vor dem Benutzer verbirgt.
Microsoft: OneNote
Die Angreifer verwenden einen Köder mit Dokumentmotiv, bei dem der Textkörper tatsächlich in einem Bild enthalten ist. „Das Bild ist mit einem Link zu einem OneNote-Dokument verankert“, erklärten die Forscher, „dieser bildbasierte Ansatz hilft Angreifern, textbasierte Erkennungsmechanismen zu umgehen.“
Google: Docs Viewer
Dabei handelt es sich um eine weitere Variante des Dokumentenaustausch-Themas, das von den Rockstar-2FA-Angreifern ausgenutzt wird. „Ein Google Docs Viewer-Link in der E-Mail wird verwendet, um eine schädliche PDF-Datei darzustellen, die auf einer externen Website gehostet wird“, sagten die Forscher. „Pisher haben damit begonnen, diese Funktion zu missbrauchen, die es Benutzern ermöglicht, PDF- und PowerPoint-Dateien in eine Webseite einzubetten.“
Die von Hackern verwendeten Methoden, einschließlich derjenigen hinter dem Rockstar 2FA-Kit, um den Sicherheitsschutz der Zwei-Faktor-Authentifizierung zu umgehen
Eine der häufigsten Fragen von Opfern, die ihre Konten finden, unabhängig davon, welcher Dienst oder welche Website kompromittiert, Anmeldeinformationen geändert und auf Daten zugegriffen wurde, lautet: Wie kam der Hacker an meiner Zwei-Faktor-Authentifizierung vorbei? Das ist, um ehrlich zu sein, eine sehr berechtigte Frage, wenn man bedenkt, dass 2FA oder Multi-Faktor-Authentifizierung, abgekürzt MFA, Sie genau vor einer Situation schützen soll, in der es jemandem gelungen ist, Ihren Benutzernamen und Ihr Passwort zu kompromittieren. Die Empfehlung, 2FA überall dort zu aktivieren, wo es verfügbar ist, wird nicht durch die Tatsache verwässert, dass einige Angreifer diese Schutzmaßnahmen unter bestimmten Umständen umgehen können. Das Wichtigste ist, dass Sie sich darüber im Klaren sind, wie ihnen das gelingt, denn das könnte Sie davor bewahren, noch ein weiteres Opfer zu werden.
Um den Schutz Ihres 2FA-Kontos zu umgehen, zielen die meisten Angriffe darauf ab, den Zielbenutzer durch einen Phishing-Angriff oder eine Form von Social Engineering umzuleiten, die ihn auf eine legitim aussehende Website führt, wo er aufgefordert wird, seine Anmeldeinformationen einzugeben. Wenn der Benutzer seinen 2FA-Code eingibt, könnte der Angreifer die Funktionalität des eingesetzten Exploits nutzen, um das Authentifizierungstoken oder besser noch das Sitzungscookie abzufangen. Letzteres macht so ziemlich das, was Sie sich vorstellen können: Es markiert die Benutzersitzung als vollständig autorisiert, weil dies der Fall war. Wenn Sie jedoch über das Sitzungscookie verfügen, können Sie diese Sitzung nach Belieben erneut ausführen und werden weiterhin als authentifizierter Benutzer behandelt.
„Wenn Opfer Opfer dieser Multi-Faktor-Authentifizierung-Bypass-Phishing-Angriffe werden“, sagte Max Gannon, Cyber Intelligence Analysis Manager bei Cofense, „melden sie sich effektiv an und autorisieren den Zugriff, vor dem MFA einfach nicht schützen kann.“ Es handelt sich nicht um einen Fehler des 2FA-Mechanismus selbst, da die eingegebenen Anmeldeinformationen echt genug sind. „Diese Kits führen das Phishing-Wettrüsten im Wesentlichen auf den Stand zurück, den wir vor dem Aufkommen von MFA hatten“, schloss Gannon, „wo der Schlüsselfaktor zur Verhinderung einer Kontokompromittierung die Person ist, die angegriffen wird.“
Wenn es darum geht, die Umgehung der Zwei-Faktor-Authentifizierung einzudämmen, ist dies sowohl so einfach, wie es klingt, als auch nicht gleichzeitig. Ich sage das, weil die Entwicklung der Bedrohung, wie beispielsweise das Exploit-Kit Rockstar 2FA, so ist, dass man nie vorsichtig genug sein kann. Da ich jedoch fest davon überzeugt bin, dass alles, was im Namen einer besseren Sicherheit Barrieren für die Benutzerfreundlichkeit errichtet, zum Scheitern verurteilt ist, kann ich den jüngsten Ratschlägen des Büros des Federal Bureau of Investigation in Atlanta nicht zustimmen, die darauf hinwiesen, dass die Leute „das erkennen Es besteht die Gefahr, dass beim Anmelden auf einer Website das Kontrollkästchen „Angemeldet bleiben“ angeklickt wird.“ Das deutet für mich darauf hin, dass die Feds wollen, dass die Leute genau das ignorieren, was die Nutzung so vieler Websites und Dienste, nun ja, nutzbar macht. Sitzungscookies werden generiert, wenn Sie sich auf einer Website anmelden und das Kontrollkästchen „Dieses Gerät merken“ aktivieren, um sich den Aufwand zu ersparen, sich bei jedem erneuten Besuch mit 2FA erneut anmelden zu müssen.
Da solche Angriffe fast immer mit einer Phishing-E-Mail oder -Nachricht beginnen, die darauf abzielt, Sie auf die Anmeldeseite eines geklonten Kontos umzuleiten, sollten Sie alles tun, um nicht zum Opfer zu werden. Sehen Sie gleich, was Paul Walsh von MetaCert dazu zu sagen hat, aber ein Google-Sprecher sagte, es gebe „zahlreiche Schutzmaßnahmen zur Bekämpfung solcher Angriffe, einschließlich Passkeys, die die Auswirkungen von Phishing und anderen Social-Engineering-Angriffen erheblich reduzieren.“ Laut Google bieten solche Sicherheitsschlüssel bekanntermaßen einen stärkeren Schutz gegen „automatisierte Bots, Massen-Phishing-Angriffe und gezielte Angriffe als SMS, App-basierte Einmalkennwörter und andere Formen der herkömmlichen Zwei-Faktor-Authentifizierung“.
QR-Codes werden eingesetzt, um Opfer zum 2FA-Landeplatz von Rockstar zu leiten
Die Forscher von Trustwave SpiderLabs warnten außerdem, dass die Bedrohungsakteure bekanntermaßen eingesetzt haben der Missbrauch von QR-Codesetwas, das ich ohne Entschuldigung nicht als Quishing bezeichnen möchte, um die Landing-Site-URL in den Code selbst einzubetten. „Diese Methode umgeht oft herkömmliche Erkennungssysteme, die sich auf sichtbare Links konzentrieren“, sagten die Forscher. Ein gezeigtes Beispiel war ein PDF-Dokument, das ein DocuSign-Dokument nachahmen sollte und nur einen QR-Code und Anweisungen enthielt. Zwei verwenden eine Smartphone-Kamera, um das Dokument elektronisch zu signieren.
Die SpiderLabs-Forscher stellten fest, dass Angriffe, die Rockstar 2FA nutzen, oft ausgenutzt werden mehrstufige Phishing-Kettenwobei viele Phasen im Prozess verwendet werden. „Dieser mehrschichtige Ansatz nutzt verschiedene legitime Dienste aus, um bösartige Links zu hosten oder als Redirectoren zu fungieren, um der Erkennung noch weiter zu entgehen und Phishing-Seiten vor E-Mail-Gateways zu verbergen“, sagten sie.
Paul Walsh, CEO von MetaCert, war 2004 Mitbegründer der W3C Mobile Web Initiative mit der Aufgabe, Tim Berners-Lees Vision von „One Web“ weiterzuentwickeln. Walsh war in den 90er-Jahren außerdem Leiter des New Technologies-Teams bei AOL, einer der ersten Menschen, die Hacker im Internet nachahmten, und half bei der Einführung des Instant-Messenger-Clients AIM von AOL. Walsh ist fest davon überzeugt, dass der anhaltende Krieg gegen Verbraucher nichts damit zu tun hat, dass sich Phishing weiterentwickelt oder immer ausgefeilter wird, sondern vielmehr damit, dass Bedrohungsinformationen für den Phishing-Schutz grundsätzlich fehlerhaft sind. „Es ist sinnlos, sich auf historische Daten zu verlassen“, sagte Walsh, „neue URLs entziehen sich absichtlich vorhandenen Informationen.“ Mit Ausnahme der 2017 entdeckten Reverse-Proxy-Techniken, betonte Walsh, „verwenden Kriminelle keine neuen Methoden – sie nutzen lediglich Lücken in veralteten Sicherheitsstrategien aus.“ Genauer gesagt, und das ist von entscheidender Bedeutung, sagte Walsh: „Die Menschen sind nicht für Phishing verantwortlich; Schlechte Sicherheit ist schuld.“ Menschen zu raten, „vertrauenswürdigen Quellen“ zu vertrauen, ist laut Walsh fehlgeleitet und kontraproduktiv, ebenso wie das Schweben von Links, da jede halbwegs anständige Phishing-Kampagne das wahre Ziel überzeugend verbergen kann. „Es ist ebenso sinnlos, den Leuten zu sagen, sie sollen die Identität des Absenders überprüfen“, sagte Walsh, da „die meisten Phishing-Angriffe bekannte Kontakte perfekt nachahmen können.“ Der Zero-Trust-Ansatz von MetaCertsagte Walsh, behandelt jede URL als nicht vertrauenswürdig, bis sie ausdrücklich als sicher bestätigt wird.
Sie können den vollständigen Trustwave SpiderLabs-Bericht über Phishing-as-a-Service-Kits, einschließlich Rockstar 2FA, lesen, der in drei sehr detaillierte Teile unterteilt ist: Hier, Hier Und Hier. Ich empfehle Ihnen wärmstens, dies zu tun, da es sowohl eine informative Lektüre als auch eine wichtige Lektüre ist, wenn Sie auf dem Laufenden bleiben wollen, was die Bedrohungsakteure in diesem sich entwickelnden Sektor der Bedrohungslandschaft vorhaben.
