Una nuova piattaforma di phishing-as-a-service per Microsoft 365 chiamata "FlowerStorm" sta diventando sempre più popolare. Ciò per colmare il vuoto lasciato dall'improvvisa chiusura del servizio di cybercrimine Rockstar2FA. Questa minaccia è stata documentata per la prima volta da Trustwave a fine novembre 2024. In particolare, ha funzionato come piattaforma PhaaS che facilitava attacchi Adversary-in-the-Middle (AiTM) su larga scala che prendevano di mira le credenziali di Microsoft 365. Il servizio offriva meccanismi di evasione avanzati, un pannello intuitivo e numerose opzioni di phishing, vendendo agli hacker l'accesso per 200 dollari per due settimane. Secondo i ricercatori di Sophos, Rockstar2FA ha subito un crollo parziale dell'infrastruttura l'11 novembre scorso, rendendo irraggiungibili molte delle pagine del servizio. Sophos afferma che ciò sembra essere causato da un guasto tecnico. Poche settimane dopo, FlowerStorm, apparso per la prima volta online a giugno 2024, ha iniziato a guadagnare rapidamente popolarità.
FlowerStorm: possibile rebranding di Rockstar2FA
Sophos ha scoperto che il nuovo servizio, FlowerStorm PhaaS, condivide molte funzionalità viste in precedenza in Rockstar2FA. È quindi possibile che gli operatori abbiano cambiato nome per ridurre l'esposizione. Sophos ha identificato diverse somiglianze tra Rockstar2FA e FlowerStorm, suggerendo un'ascendenza condivisa o una sovrapposizione operativa. Ad esempio, entrambe le piattaforme utilizzano portali di phishing che imitano pagine di accesso legittime (come Microsoft) per raccogliere credenziali e token MFA Per fare ciò si basano su server backend ospitati su domini come .ru e .com. Inoltre, la struttura HTML delle loro pagine di phishing è molto simile. I metodi di raccolta delle credenziali sono strettamente allineati, utilizzando campi come e-mail, password e token di tracciamento della sessione. I modelli di registrazione e hosting dei domini si sovrappongono in modo significativo. Infine, le due piattaforme hanno commesso errori operativi che hanno esposto i sistemi backend e hanno dimostrato un'elevata scalabilità.
Qualunque sia la storia dietro l'improvvisa ascesa di FlowerStorm, per utenti e organizzazioni si tratta di un ulteriore abilitatore di attacchi di phishing dannosi che potrebbero portare a veri e propri attacchi informatici. La telemetria di Sophos mostra che circa il 63% delle organizzazioni e l'84% degli utenti presi di mira da FlowerStorm hanno sede negli Stati Uniti. I settori più presi di mira sono i servizi (33%), la produzione (21%), la vendita al dettaglio (12%) e i servizi finanziari (8%). Per proteggersi dagli attacchi di phishing, è consigliato utilizzare l'autenticazione a più fattori (MFA) con token FIDO2 resistenti ad AiTM. Inoltre è utile implementare soluzioni di filtraggio delle e-mail e utilizzare il filtraggio DNS per bloccare l'accesso a domini sospetti come .ru, .moscow e .dev.