Sebuah platform phishing-as-a-service (PhaaS) baru bernama ‘Rockstar 2FA’ telah muncul, yang memfasilitasi serangan adversary-in-the-middle (AiTM) dalam skala besar untuk mencuri kredensial Microsoft 365.
Seperti platform AiTM lainnya, Rockstar 2FA memungkinkan penyerang untuk menghindari perlindungan autentikasi multi-faktor (MFA) pada akun yang menjadi target dengan mencegat cookie sesi yang sah.
Serangan ini bekerja dengan mengarahkan korban ke halaman login palsu yang menyerupai Microsoft 365 dan membujuk mereka untuk memasukkan kredensial mereka.
Server AiTM bertindak sebagai proxy, meneruskan kredensial tersebut ke layanan sah Microsoft untuk menyelesaikan proses autentikasi, lalu menangkap cookie saat dikirim kembali ke browser korban.
Cookie ini kemudian dapat digunakan oleh aktor ancaman untuk mengakses langsung akun korban, meskipun akun tersebut dilindungi dengan MFA, tanpa memerlukan kredensial sama sekali.
Alur Serangan Rockstar 2FA
Alur serangan Rockstar 2FA
Sumber: Trustwave
Meningkatnya Popularitas Rockstar 2FA
Trustwave melaporkan bahwa Rockstar 2FA sebenarnya adalah versi terbaru dari kit phishing DadSec dan Phoenix, yang mulai populer pada awal dan akhir 2023.
Peneliti mengatakan Rockstar 2FA telah memperoleh popularitas yang signifikan di komunitas dunia maya sejak Agustus 2024, dijual dengan harga $200 untuk dua minggu atau $180 untuk pembaruan akses API.
Panel admin Rockstar 2FA
Sumber: Trustwave
Layanan ini dipromosikan di Telegram, di antara tempat lainnya, dengan berbagai fitur unggulan, seperti:
- Dukungan untuk Microsoft 365, Hotmail, Godaddy, SSO
- Kode sumber dan tautan yang diacak untuk menghindari deteksi
- Integrasi Cloudflare Turnstile Captcha untuk penyaringan korban
- Lampiran dan tautan FUD otomatis
- Panel admin yang mudah digunakan dengan log waktu nyata dan opsi cadangan
- Beberapa tema halaman login dengan branding organisasi otomatis (logo, latar belakang)
Sejak Mei 2024, layanan ini telah mengatur lebih dari 5.000 domain phishing, memfasilitasi berbagai operasi phishing.
Peneliti mengatakan bahwa kampanye phishing terkait yang mereka amati memanfaatkan platform pemasaran email yang sah atau akun yang dikompromikan untuk menyebarkan pesan berbahaya ke target.
Pesan-pesan tersebut menggunakan berbagai jenis umpan, termasuk pemberitahuan berbagi dokumen, pemberitahuan dari departemen TI, peringatan pengaturan ulang kata sandi, dan pesan terkait penggajian.
Trustwave menyatakan bahwa pesan-pesan ini menggunakan berbagai metode penghindaran pemblokiran, termasuk kode QR, tautan dari layanan pemendek URL yang sah, dan lampiran PDF.
Email Phishing yang Dikirim dari Rockstar 2FA
Email phishing yang dikirim dari Rockstar 2FA
Sumber: Trustwave
Tantangan Cloudflare turnstile digunakan untuk menyaring bot, sementara serangan ini kemungkinan juga mencakup pemeriksaan IP sebelum target yang sah diarahkan ke halaman phishing login Microsoft 365.
Volume Permintaan Tantangan Cloudflare Turnstile yang Terkait dengan Rockstar 2FA
Volume permintaan tantangan Cloudflare Turnstile yang terkait dengan Rockstar 2FA
Sumber: Trustwave
Jika pengunjung dianggap sebagai bot, peneliti keamanan, atau target yang tidak relevan secara umum, mereka akan dialihkan ke halaman jebakan bertema mobil yang tidak berbahaya.
JavaScript pada halaman arahan kemudian mendekripsi dan mengambil halaman phishing atau halaman jebakan bertema mobil berdasarkan evaluasi server AiTM terhadap pengunjung tersebut.
Pengalihan ke Halaman Phishing atau Jebakan
Pengalihan ke halaman phishing atau jebakan
Sumber: Trustwave
Kemunculan dan proliferasi Rockstar 2FA mencerminkan ketekunan operator phishing, yang terus menawarkan layanan ilegal meskipun baru-baru ini terjadi operasi penegakan hukum besar-besaran yang menutup salah satu platform PhaaS terbesar dan menangkap operatornya.
Selama alat-alat komoditas ini tetap dapat diakses oleh para penjahat dunia maya dengan biaya rendah, risiko operasi phishing berskala besar yang efektif tetap signifikan.