Rockstar 2FA Phishing kit IOCs

Исследователи из Trustwave SpiderLabs отслеживают растущее использование фишингового набора Rockstar 2FA, который нацелен на учетные записи Microsoft с использованием техники Adversary-in-the-Middle (AiTM).

Rockstar 2FA Phishing kit

Этот набор позволяет злоумышленникам обходить многофакторную аутентификацию (MFA) путем перехвата файлов cookie и учетных данных сеанса. В кампаниях используются поддельные порталы для входа в Microsoft 365, цель которых - обманом заставить жертву раскрыть конфиденциальную информацию.

По данным TrustWave, набор Rockstar 2FA является развитием набора DadSec/Phoenix и продается на таких платформах, как Telegram, предлагая расширенные функции, такие как обход 2FA, генерация рандомизированного кода и меры по борьбе с ботами. Стоимость подписки начинается от 200 долларов, что делает его доступным для киберпреступников. Злоумышленники используют сложные методы социальной инженерии, в том числе фишинговые электронные письма, посвященные обмену документами, уведомлениям о зарплате и голосовой почте, которые доставляются через доверенные платформы, чтобы избежать обнаружения. Крупная кампания Rockstar 2FA также использует веб-страницы и приманки на автомобильную тематику. С мая 2024 года TrustWave обнаружила более 5 000 доменов на автомобильную тематику.

Фишинговые кампании используют проблемы Cloudflare Turnstile для блокировки автоматического анализа и применяют обфусцированный JavaScript для доставки либо фишинговой страницы, либо сайта-обманки в зависимости от проверки пользователя. После того как жертва вводит свои учетные данные, злоумышленники получают доступ как к данным для входа в систему, так и к куки-файлам сессии, что позволяет захватывать учетные записи или проводить последующие атаки, например, компрометацию деловой электронной почты.
Кампании Rockstar, активные с середины 2024 года, подчеркивают растущую изощренность платформ «фишинг как услуга» (PaaS). Их постоянные обновления и интеграция тактики AiTM подчеркивают важность усиленных мер безопасности для противодействия этим угрозам.

Indicators of Compromise

Domains

• albumilustrado.msk.ru
• entertaingadgetop.ru
• entertainmentcircuitss.ru
• fruechtebox-expresszsnu.ru
• googlesecurityforums.Moscow
• mieten.com.ru
• ponnet.msk.su
• recambioselecue.ru

URLs

• http://cc.naver.com/cc?a=pst.link&m=1&nsc=Mblog.post&u=https%3A%2F%2Fwww.curiosolucky.com/dos/
• http://track.senderbulk.com/9164124/c?p=pDvu1IoaZGOuiG9hOsGCPPBXFmtx2_vWwJfaiQBzucIA8v9mjc3ztSyOneYxrKLjPngUzpA11TuGi1aI2aLIylOF1nHcpBoP4YzUvVEMYHtwY1nRlztPcQOoC6S6KSWuNNAgIAVnfapCVCgF1cOjSXtedVH_tWc1vLDH7FDQA0VZbtHORodc9jBuNuHh0DMH7zq9Mo6OMyLjnApzvQ3Kvw==
• https://bitesizeusaei.za.com/ol6Bu/
• https://bluntchiefei.za.com/XTCfX/
• https://botolaasprop.sa.com/N26Vu/
• https://bytequestixo.pro/wWge/
• https://callcenter838685d0747612ac193e85fcb5ae45287b09e8a0mailvoice.s3.us-east-2.amazonaws.com
• https://cloudflare-kol.github.io/out/red.html?url=aHR0cHM6Ly9zaG9ydHVybC5hdC80SlZnbg==
• https://ctrk.klclick3.com/l/01J5V2NHDC0KB0P8B51Z9PCPZS_0
• https://cyberdynalumeo.ru/1RB3Y/
• https://cybernexillumo.za.com/TVNPr/
• https://digitalgadgetbuzz.sa.com/WyAn/
• https://docsecureatt-docdrive-filedoc.pages.dev/
• https://docsend.com/view/q6f7ukbdeviagha2
• https://edlyj.r.ag.d.sendibm3.com/mk/cl/f/sh/OycZvHuFo1eQsnbcJj9r9GQ4/Lf5JdugpPYQV
• https://enterbuzztechscener.pl/pbtmx/
• https://erfolgstipss.com.de/Gnq8/
• https://googlevoicesecrets.com/EHkslw5/auth/?_kx=lKiN48B6FuEu_OYp2PJPXw.Sdgjsn
• https://involucrases.sa.com/
• https://lifestylesyncteche.pro/Ykiy/
• https://link.trustpilot.com/ls/click?upn=u001.u9-2FNN-2FjLZCX2YnHXPQ1lM4gqkGMqJbqpuJx-2FSxHxK-2FHK5blCjdqA4sTpFhMxVuvd4F2C_ytJ-2BU3wnk2t0HzMc51nsdI5jCvjlH5KkDNOR5oq1uEJItlkSMD-2F0mdF-2F-2B0td2onmiDV9xpRWw-2FdvTM3A0wCvdsiFkF1kSdgdFrVAE78L337Qo3s56Gk0s6E6DwCfNIKl8bRli5iK2LUC2ldGxjFPYGCigbeEgNBwg1dcBwOOCSSMKGEAZxhwoFvF5-2Fm5JIsTGsZgQlFDpHLis00H4SRzSjnDGYeia8OxbZOi3NmC9Zu0y59gc0DEENkQqz3vpJLxuDhLJpYJpzgnl5FKcj4hKsjfHYOBYWFlwHMrDBS4Cvh4Jej-2FzpBQsqkaAsezwGEEHqB22DcDQgay2Cm-2BbwAcZMOxqHcQjy3nz6aJyACCXDZkVr8P3iPKgjlqDjbsFb-2BJ-2BuUIiNGVhLp1-2F3wvR6hrzO1bA127bZ68-2BmxJz7ux0F5Htfv1SipEoRgLt6VWovRUTbAmRMRtZHvPS49KRBqCjzSnmChbhoVriyoBm5l9IeUaV5raA4vZxPckk3vcYaVa0xmCZLDFC14eTimJvqIk1CqOPtji8DUcs3pyfer4J-2Fk-3D
• https://magenta-melodious-garnet.glitch.me/public/rc.htm
• https://novatechies.cbg.ru/BUeEj/
• https://payment-confirmation-to-your-bank-account-s-dabringhaus-licatec.packinqsystems.de/
• https://pfremiumshirts.store/D91p/
• https://pub-fe581134d7ae4857a97443270a27e0fa.r2.dev/0nedrive.html
• https://r.g.bing.com/bam/ac?!&&daydream=vasectomy&u=a1aHR0cHM6Ly9jeWJlcm5leGlsbHVtby56YS5jb20vVFZOUHIv==
• https://semi-zcmp.maillist-manage.com/click/1122f15d012c0933f/1122f15d012c08f77?utm_source=aynures-newsletter.beehiiv.com&utm_medium=newsletter&utm_campaign=yes-my-gee&_bhlid=c1191c405e82c32c645acb82f875fdd8fad29209
• https://shorturl.at/4JVgn
• https://synthchromal.ru/Vc51/
• https://system23cfb9.link.bmesend.com/api/LinkHandler/getaction2?redirectParam2=K09weU5vMDBKWXFUK0ZPdkw4azdKWHk5QlJsZkNXWXlLMUxiMHdXQU1YK3FFZGFsZG9ZQ2ZqNUdHd3ErZEpLeGpyeVE1U1hmU2xoSy9WemJySVEzQytGajZBVWE4em5jaEpuRHhEa05xOTZOcWxQRVdUN1g2S2ViR3YvZjN1K2dJZk9rQTRVajZmMD0%3d
• https://u1427642.ct.sendgrid.net/ss/c/u001.d04lnC885Iiw-JDl08ZraoSXFe9HwA-SkWLpgNZDbZzgIKoIZZYrlHao4m6r2Vm6/4a0/vg0RNJ9pTvCzCNn5rS7A6Q/h0/h001.3pGdTVyFoOmaVG2IhlxshDsg0cLE6sckLThbmumHqI0
• https://www.curiosolucky.com/dos/
• https://www.google.com.au/url?q=//www.google.co.nz/amp/s/synthchromal.ru/Vc51/