Фишинговый сервис FlowerStorm пришел на смену закрывшемуся Rockstar2FA

Исследователи обнаружили, что после закрытия хакерского сервиса Rockstar2FA популярность стала набирать новая фишинговая платформа FlowerStorm, ориентированная на взлом аккаунтов Microsoft 365.

Платформа Rockstar2FA, обнаруженная аналитиками Trustwave в конце ноября 2024 года, работала по схеме PhaaS (Phishing-as-a-Service, «Фишинг-как-услуга») и была нацелена на пользователей Microsoft 365. Сервис предлагал своим клиентам продвинутые механизмы уклонения от обнаружения, множество настроек для фишинга, а доступ к нему стоил 200 долларов за две недели.

Как теперь сообщили исследователи Sophos, 11 ноября инфраструктура Rockstar2FA оказалась частично разрушена, в результате чего сервис прекратил работу. При этом специалисты полагают, что это не было результатом действий правоохранительных органов и объясняют произошедшее техническим сбоем.

Спустя несколько недель после возникновения проблем у Rockstar2FA популярность среди преступников начала набирать платформа FlowerStorm, впервые замеченная в сети в июне 2024 года.

Эксперты отмечают, что FlowerStorm имеет много общих черт с Rockstar2FA, поэтому не исключено, что операторы PhaaS-платформы попросту провели ребрендинг.

Так, обе платформы используют фишинговые порталы, имитирующие легитимные страницы входа для сбора учетных данных и МФА-токенов, полагаясь при этом на внутренние серверы, размещенные в зонах com, .de, .ru. и .moscow. Хотя Rockstar2FA использовала рандомизированные PHP-скрипты, а FlowerStorm — стандартный next.php.

HTML-структура фишинговых страниц сервисов схожа: случайный текст в комментариях, использование защитных функций Cloudflare Turnstile и подсказки вроде «Initializing browser security protocols».

Методы сбора учетных данных так же совпадают: в них задействованы такие поля, как email, пароль и токены для отслеживания сеансов. Обе платформы поддерживают валидацию электронной почты и МФА-аутентификацию через свои бэкэнд-системы.

Паттерны регистрации доменов и хостинга тоже практически аналогичны, а активность обеих платформ синхронно растет и падает, что тоже указывает на потенциальную взаимосвязь, хотя здесь могли сыграть роль рыночные факторы.

Также отмечается, что операторы обеих платформ допустили ошибки, раскрывшие их бэкэнд. В итоге стало понятно, что Rockstar2FA управляла более чем 2000 доменов, а FlowerStorm быстро расширилась вскоре после коллапса Rockstar2FA, что указывает на возможное наличие связи.

По данным Sophos, примерно 63% организаций и 84% пользователей, на которых нацелена FlowerStorm, находятся в США.