Rockstar 2FA: как хакеры обходят многофакторную защиту в два клика

Даже сложные системы безопасности не спасают от хитрых уловок преступников.


5pml2xclfmyna1swx226t1c3wl2iyg3i.jpg


Исследователи в области кибербезопасности предупреждают о новых фишинговых атаках, организованных с использованием инструмента Phishing-as-a-Service ( PhaaS ) под названием Rockstar 2FA. Цель таких атак — кража учётных данных пользователей Microsoft 365 , включая сессионные куки.

В недавнем отчёте компании Trustwave исследователи отметили, что эта операция применяет метод «противник посередине» ( AiTM ), позволяющий перехватывать учётные данные и сессионные куки даже у пользователей с включённой многофакторной аутентификацией (MFA).

Rockstar 2FA считается обновлённой версией набора DadSec (также известного как Phoenix). Microsoft отслеживает разработчиков и распространителей этой платформы под кодовым названием Storm-1575. Набор продаётся по подписке: $200 за две недели или $350 за месяц, предоставляя киберпреступникам без продвинутых технических навыков возможность проводить масштабные атаки.

Среди ключевых возможностей Rockstar 2FA заявлены обход двухфакторной аутентификации, сбор куки, антибот-защита, темы для страниц входа, имитирующие популярные сервисы, и интеграция с Telegram-ботами. Также платформа предлагает удобную административную панель для управления вредоносными кампаниями и персонализации ссылок.

Киберпреступники используют различные методы начального доступа, включая URL, QR-коды и вложенные документы. Часто такие сообщения отправляются с уже скомпрометированных аккаунтов или через спам-инструменты. Для обхода антиспам-фильтров применяются легитимные сервисы сокращения ссылок, редиректы и защита через Cloudflare Turnstile.

Trustwave отмечает, что злоумышленники размещают фишинговые ссылки на платформах, вызывающих доверие, таких как Google Docs Viewer, Atlassian Confluence и Microsoft OneDrive. Это усиливает эффективность атак, так как пользователи реже сомневаются в легитимности таких ссылок.

Данные, введённые жертвами на поддельных страницах, мгновенно отправляются на сервер злоумышленников. Затем украденные учётные данные используются для получения сессионных куки, позволяя получить полный доступ к аккаунту в обход многофакторной аутентификации.

Развитие киберпреступности по сервисной модели демонстрирует, как технологическая доступность и простота использования вредоносных инструментов может представлять серьёзную угрозу даже в руках малоопытных хакеров. Чтобы избежать подобных угроз, от пользователей требуется постоянная бдительность при работе с любыми онлайн-ресурсами, даже вызывающими доверие.