據(jù)The Hacker News消息，研究人員近日發(fā)出警告，稱一種惡意電子郵件活動(dòng)正利用名為 Rockstar 2FA 的網(wǎng)絡(luò)釣魚(yú)即服務(wù)（PhaaS）工具包竊取 Microsoft 365 用戶帳戶憑證。

Trustwave 研究人員 Diana Solomon 和 John Kevin Adriano 表示，該惡意活動(dòng)采用了 AitM 中間對(duì)手攻擊，允許攻擊者攔截用戶憑證和會(huì)話 cookie，意味著即使啟用了多因素身份驗(yàn)證 （MFA） 的用戶仍然容易受到攻擊。

Rockstar 2FA 被認(rèn)為是 DadSec（又名 Phoenix）網(wǎng)絡(luò)釣魚(yú)工具包的更新版本，通過(guò) ICQ、Telegram 和 Mail.ru 等服務(wù)以訂閱模式進(jìn)行廣告宣傳，價(jià)格為期兩周 200 美元（或每月 350 美元），能夠讓沒(méi)有技術(shù)專長(zhǎng)的網(wǎng)絡(luò)犯罪分子大規(guī)模開(kāi)展攻擊活動(dòng)。

根據(jù)Rockstar 2FA的推廣介紹，其工具包功能包括雙因素身份驗(yàn)證 （2FA） 繞過(guò)、2FA cookie 收集、反機(jī)器人保護(hù)、模仿流行服務(wù)的登錄頁(yè)面主題、完全無(wú)法檢測(cè) （FUD） 鏈接和 Telegram 機(jī)器人集成，并且還聲稱擁有一個(gè) "更直觀、用戶友好的管理面板"，使客戶能夠跟蹤其網(wǎng)絡(luò)釣魚(yú)活動(dòng)的狀態(tài)、生成 URL 和附件，甚至個(gè)性化應(yīng)用于所創(chuàng)建鏈接的主題。

Trustwave 發(fā)現(xiàn)的釣魚(yú)郵件活動(dòng)利用了不同的初始訪問(wèn)媒介，例如 URL、二維碼和文檔附件，除了使用合法的鏈接重定向器（例如，縮短的 URL、開(kāi)放重定向、URL 保護(hù)服務(wù)或 URL 重寫(xiě)服務(wù)）作為繞過(guò)反垃圾郵件檢測(cè)的機(jī)制外，該工具包還集成了使用 Cloudflare Turnstile 的反機(jī)器人檢查，以試圖阻止對(duì) AitM 網(wǎng)絡(luò)釣魚(yú)頁(yè)面的自動(dòng)分析。

Trustwave 還觀察到該工具包利用 Atlassian Confluence、Google Docs Viewer、LiveAgent 以及 Microsoft OneDrive、OneNote 和 Dynamics 365 Customer Voice 等合法服務(wù)來(lái)托管釣魚(yú)鏈接。

與此同時(shí)，安全公司，Malwarebytes 披露了一個(gè)名為 Beluga 的網(wǎng)絡(luò)釣魚(yú)活動(dòng)，該活動(dòng)使用.HTM附件來(lái)欺騙收件人在虛假登錄表單上輸入 Microsoft OneDrive 憑證，然后將這些數(shù)據(jù)泄露給 Telegram 機(jī)器人。而該活動(dòng)的推廣傳播渠道利用了社交媒體上的網(wǎng)絡(luò)釣魚(yú)鏈接和在線網(wǎng)絡(luò)博彩游戲廣告。