來自 Sophos MDR 的遙測數據顯示,營運 PaaS 平台 Rockstar2FA 的集團的基礎架構已有部分停擺,其中一些頁面已無法瀏覽。
這個狀況似乎並非因外部力量 (如執法機構) 干預,而是由於服務後端的某些技術故障所致。不久後,一個名為「FlowerStorm」的新平台出現,模仿了 Rockstar 的工具、策略和程序 (TTPs)。研究還發現:
- 透過 Rockstar2FA,潛在的網路犯罪分子可透過 Telegram 購買並管理網路釣魚活動,並獲得一個專屬的網路釣魚頁面和 URL 供其活動使用。
- 瀏覽該 URL 的使用者會被引導至一個假的 Microsoft 登入頁面。該頁面會攔截憑證和多因素驗證 (MFA) 代碼,並透過 HTTP POST 訊息將這些資訊傳送到由攻擊者控制的「後端伺服器」頁面。
- 大多數網路釣魚頁面註冊於 .com、.de、.ru 和 .moscow 等頂級網域名稱下。