Các cuộc tấn công này được thực hiện bằng cách chuyển hướng nạn nhân đến một trang đăng nhập giả mạo của Microsoft 365 và đánh lừa họ nhập thông tin đăng nhập. Máy chủ Adversary-in-the-Middle (AiTM) hoạt động như một proxy, chuyển tiếp thông tin đăng nhập đó đến dịch vụ hợp pháp của Microsoft để hoàn tất quy trình xác thực, sau đó thu thập cookie khi nó được gửi trở lại trình duyệt của mục tiêu.

Sau đó, kẻ tấn công có thể sử dụng cookie này để truy cập trực tiếp vào tài khoản của nạn nhân, ngay cả khi tài khoản được bảo vệ bằng MFA, mà không cần thông tin đăng nhập.

Các nhà nghiên cứu Diana Solomon và John Kevin Adriano của hãng bảo mật Trustwave (Mỹ) cho biết: “Trong chiến dịch này, các tin tặc sử dụng kỹ thuật tấn công AitM, cho phép kẻ tấn công chặn thông tin đăng nhập của người dùng và phiên cookie, nghĩa là ngay cả những người dùng đã bật xác thực đa yếu tố (MFA) vẫn có thể bị tấn công”.

Hình 1. Luồng tấn công của Rockstar 2FA

Rockstar 2FA được đánh giá là phiên bản cập nhật của bộ công cụ lừa đảo DadSec (hay còn gọi là Phoenix). Microsoft đang theo dõi các nhà phát triển và nhà phân phối nền tảng Dadsec PhaaS dưới tên gọi là Storm-1575.

Giống như những phiên bản trước, bộ công cụ lừa đảo này được quảng cáo thông qua các dịch vụ như ICQ, Telegram và Mail[.]ru theo mô hình đăng ký với giá 200 USD trong hai tuần (hoặc 350 USD trong một tháng), cho phép tội phạm mạng có thể tiến hành các chiến dịch tấn công trên quy mô lớn.

Một số tính năng của Rockstar 2FA bao gồm vượt qua xác thực hai yếu tố (2FA), thu thập cookie 2FA, bảo vệ chống bot, chủ đề trang đăng nhập mạo danh các dịch vụ phổ biến và tích hợp bot Telegram. Bên cạnh đó, bộ công cụ này đã thiết lập hơn 5.000 tên miền lừa đảo kể từ tháng 5/2024, tạo điều kiện cho nhiều hoạt động phishing khác nhau.

Ngoài ra, Rockstar 2FA được quảng cáo có “bảng quản trị thân thiện với người dùng” cho phép khách hàng theo dõi trạng thái các chiến dịch lừa đảo, tạo URL và tệp đính kèm, thậm chí cá nhân hóa các chủ đề được áp dụng cho các liên kết đã tạo.

Hình 2. Bảng quản trị điều khiển Rockstar 2FA

Các nhà nghiên cứu cho biết các chiến dịch lừa đảo liên quan mà họ quan sát đã lợi dụng các nền tảng tiếp thị qua email hợp pháp hoặc các tài khoản bị xâm phạm để phát tán các thông điệp độc hại đến các mục tiêu.

Các tin nhắn sử dụng nhiều cách dụ dỗ khác nhau, bao gồm thông báo chia sẻ tài liệu, thông báo của phòng công nghệ thông tin, cảnh báo đặt lại mật khẩu và tin nhắn liên quan đến bảng lương.

Các chiến dịch email được Trustwave phát hiện sử dụng nhiều vectơ truy cập ban đầu như URL, mã QR và tệp đính kèm tài liệu, được nhúng trong các tin nhắn được gửi từ các tài khoản bị xâm phạm hoặc các công cụ gửi thư spam. Các email sử dụng nhiều mẫu mồi nhử, từ thông báo chia sẻ tệp đến yêu cầu chữ ký điện tử.

Hình 3. Email lừa đảo được gửi từ Rockstar 2FA

Bên cạnh việc sử dụng các trình chuyển hướng liên kết hợp pháp (ví dụ URL rút gọn, chuyển hướng mở hay URL rewrite) làm cơ chế để vượt qua phát hiện chống thư spam, bộ công cụ này kết hợp các kiểm tra chống bot bằng Cloudflare Turnstile nhằm ngăn chặn việc phân tích tự động các trang lừa đảo AitM.

Hình 4. Chuyển hướng đến trang lừa đảo

Trustwave cho biết họ đã quan sát thấy nền tảng này sử dụng các dịch vụ hợp pháp như Atlassian Confluence, Google Docs Viewer, LiveAgent và Microsoft OneDrive, OneNote và Dynamics 365 Customer Voice để lưu trữ các liên kết lừa đảo, nhấn mạnh rằng các tác nhân đe dọa đang lợi dụng lòng tin vốn có trên các nền tảng như vậy.

“Tất cả dữ liệu do người dùng cung cấp trên các trang lừa đảo sẽ được gửi ngay đến máy chủ AiTM. Sau đó, thông tin xác thực đã bị rò rỉ sẽ được sử dụng để truy xuất phiên cookie của tài khoản mục tiêu”, các nhà nghiên cứu cho biết.

Tiết lộ này được đưa ra trong bối cảnh công ty an ninh mạng Malwarebytes (Mỹ) đã báo cáo chi tiết về một chiến dịch lừa đảo có tên Beluga, sử dụng tệp đính kèm HTM để đánh lừa người nhận email nhập thông tin đăng nhập Microsoft OneDrive của họ vào biểu mẫu đăng nhập giả mạo, sau đó chuyển thông tin này đến bot Telegram.