Các nhà nghiên cứu an ninh mạng đang cảnh báo về các cuộc tấn công phishing email lợi dụng PhaaS có tên là Rockstar 2FA với mục đích đánh cắp thông tin đăng nhập tài khoản Microsoft 365.

Rockstar 2FA, một bộ công cụ lừa đảo dưới dạng dịch vụ (PhaaS), đang được sử dụng để tấn công người dùng Microsoft 365. Bộ công cụ này lợi dụng kỹ thuật tấn công AiTM (tấn công trung gian) để đánh cắp thông tin đăng nhập và cookie, ngay cả khi người dùng đã bật xác thực đa yếu tố (MFA).

Rockstar 2FA là phiên bản nâng cấp của bộ công cụ lừa đảo DadSec (hay Phoenix), do Microsoft theo dõi dưới tên mã Storm-1575. Bộ công cụ này được quảng cáo qua các nền tảng như ICQ, Telegram và Mail.ru với mô hình thuê bao, có giá từ 200 đến 350 USD.

Các tính năng của Rockstar 2FA bao gồm: bỏ qua xác thực hai yếu tố, thu thập cookie 2FA, tích hợp bot Telegram, bảo vệ chống bot. Các chiến dịch email lừa đảo sử dụng URL, mã QR hoặc tệp đính kèm tài liệu để dụ người dùng, với nội dung mồi nhử như thông báo chia sẻ tệp hoặc yêu cầu chữ ký điện tử. 

Trang đăng nhập giả mạo được thiết kế giống hệt trang thật của các thương hiệu lớn. Dữ liệu nhập vào sẽ được gửi đến máy chủ AiTM, sau đó thông tin đăng nhập và cookie phiên sẽ bị khai thác.

Ngoài lừa đảo đăng nhập, các ứng dụng lừa đảo hoặc các nền tảng cá cược giả mạo còn đánh cắp dữ liệu cá nhân và tài chính. Các nạn nhân có thể chịu thiệt hại tài chính đáng kể, lên tới hơn 10.000 USD.

Những chiến dịch như Rockstar 2FA và các biến thể khác tiếp tục đe dọa người dùng, bất kể các biện pháp bảo mật hiện tại. Người dùng cần nâng cao nhận thức và cảnh giác với các email, ứng dụng, và liên kết không rõ nguồn gốc.

Nguồn: the hacker news