Atenção a uma campanha de e-mail que usam uma ferramenta de phishing-como-serviço (PhaaS) chamada Rockstar 2FA, com o objetivo de roubar credenciais de contas Microsoft 365!

A campanha utiliza um ataque de tipo “adversary-in-the-middle” (AitM), permitindo aos atacantes interceptar passwords de utilizadores e cookies de sessão. Isso significa que, mesmo com a autenticação multifactor (MFA) activada, os utilizadores podem estar vulneráveis.

O Rockstar 2FA é considerado uma versão atualizada do kit de phishing DadSec (também conhecido como Phoenix). A Microsoft está a monitorizar os developers e distribuidores da plataforma DadSec PhaaS sob o nome de código Storm-1575.

Tal como os seus antecessores, este kit de phishing é promovido em serviços como ICQ, Telegram e Mail.ru, através de um modelo de subscrição que custa $200 por duas semanas (ou $350 mensais), permitindo que criminosos com pouca ou nenhuma experiência técnica lancem campanhas em larga escala.

Entre as funcionalidades anunciadas do Rockstar 2FA estão o bypass da autenticação multifator (2FA), recolha de cookies de 2FA, protecção antibot, temas de páginas de login que imitam serviços populares como os do Microsoft 365, links indetectáveis (FUD) e integração com bots do Telegram.

A ferramenta também afirma oferecer um “painel de administração moderno e amigável ao utilizador”, permitindo aos clientes monitorizar o progresso das suas campanhas de phishing, gerar URLs e anexos, e personalizar os temas aplicados aos links criados.

As campanhas de e-mail detetadas pela Trustwave usam vectores iniciais de acesso diversificados, como URLs, códigos QR e anexos de documentos, que são integrados em mensagens enviadas a partir de contas comprometidas ou ferramentas de spam. Estas mensagens exploram diferentes templates , desde notificações de partilha de ficheiros até pedidos de assinaturas eletrónicas.

Para contornar a deteção por antispam, o kit utiliza redirecionadores de links legítimos (e.g., URLs encurtados, redirecionamentos abertos, serviços de proteção de URLs ou reescrita de URLs) e incorpora verificações antibot com o Cloudflare Turnstile, para dificultar análises automáticas das páginas de phishing AitM.

A Trustwave observou que a plataforma tira partido de serviços legítimos como Atlassian Confluence, Google Docs Viewer, LiveAgent e Microsoft OneDrive, OneNote e Dynamics 365 Customer Voice para alojar os links de phishing, explorando a confiança associada a estas plataformas.