Nota dell’editore: a questa pubblicazione hanno contribuito Joshua Rawles, Mark Parsons, Jordan Olness e Colin Cowie di Sophos MDR.
Una delle operazioni di cybercrime-as-a-service più prolifiche di Internet ha recentemente subito una battuta d’arresto: a novembre, Sophos MDR ha notato che i rilevamenti riguardanti la piattaforma di “phishing-as-a-service” (PaaS) Rockstar2FA erano improvvisamente scomparsi.
In base alla telemetria raccolta da Sophos MDR, sembra che il gruppo che gestisce il servizio abbia subito un collasso parziale della sua infrastruttura, con le pagine associate al servizio non più raggiungibili. Questo non sembra essere dovuto a un’azione di takedown, ma a un guasto tecnico sul backend del servizio.
La scomparsa di Rockstar2FA, una versione aggiornata del servizio di phishing noto come DadSec (precedentemente associato al gruppo di minacce Storm-1575 di Microsoft), è avvenuta due settimane prima che TrustWave pubblicasse una ricerca che illustrava il servizio di phishing-as-a-service. Elementi dell’infrastruttura del servizio di phishing non sono più raggiungibili e restituiscono una risposta HTTP 522, indicando che sono stati tagliati fuori dalla rete di distribuzione dei contenuti di Cloudflare. Anche i canali Telegram associati al comando e al controllo del servizio sembrano essere stati disattivati.
Nelle settimane successive all’interruzione di Rockstar2FA, abbiamo osservato un’impennata nell’uso di un insieme simile di portali PaaS che alcuni ricercatori hanno etichettato come “FlowerStorm”, nome che deriva dall’uso di termini legati alle piante nei titoli delle pagine HTML di molte delle pagine di phishing stesse (“Flower”, “Sprout”, “Blossom” e “Leaf”, per esempio). FlowerStorm presenta alcune similarità con Rockstar e con Tycoon, un’altra piattaforma PaaS alimentata dai bot di Telegram.
Leggi tutto l’articolo.
