Pojavila se nova platforma phishing-as-a-service (PaaS) pod nazivom “FlowerStorm” koja cilja na korisnike Microsoft 365. Ova platforma je brzo stekla popularnost nakon neočekivanog prekida rada svog prethodnika, Rockstar2FA, u novembru 2024.
Rockstar2FA, ažurirana verzija DadSec phishing kita, doživjela je djelomični kolaps infrastrukture 11. novembra 2024.
Sophos istraživači Sean Gallagher i Mark Parsons primijetili su da su mnoge stranice servisa postale nedostupne, vjerovatno zbog tehničkih kvarova, a ne zbog mjera za provođenje zakona.
FlowerStorm, koji se prvi put pojavio u junu 2024., brzo je popunio prazninu koju je ostavio Rockstar2FA . Nova platforma dijeli nekoliko karakteristika sa svojim prethodnikom, uključujući napredne mehanizme izbjegavanja, panel prilagođen korisniku i razne opcije phishinga.
Poput Rockstar2FA, FlowerStorm koristi tehnike protivnik u sredini (AiTM) za presretanje korisničkih akreditiva i kolačića sesije, efektivno zaobilazeći zaštitu višefaktorske autentifikacije. Platforma koristi phishing portale koji oponašaju legitimne Microsoft stranice za prijavu za prikupljanje kredencijala i MFA tokena.
Obje platforme koriste slične obrasce registracije domena i hostinga, uz intenzivno korištenje .ru i .com domena i Cloudflare usluga. FlowerStorm je usvojio botaničku temu za svoje operacije, o čemu svjedoči upotreba termina vezanih za biljke poput “Cvijet”, “Sprout”, “Blossom” i “Leaf” u naslovima svojih HTML stranica.
Sophos-ova telemetrija otkriva da se otprilike 63% organizacija i 84% korisnika na koje je FlowerStorm ciljano nalazi u Sjedinjenim Državama. Najpogođeniji sektori uključuju usluge (33%), proizvodnju (21%), maloprodaju (12%) i finansijske usluge (8%).
Kako bi se zaštitili od ovih sofisticiranih phishing napada, stručnjaci preporučuju korištenje višefaktorske autentikacije sa FIDO2 tokenima otpornim na AiTM, primjenu rješenja za filtriranje e-pošte i korištenje DNS filtriranja za blokiranje pristupa sumnjivim domenama.
Brzi uspon FlowerStorm-a naglašava stalnu prijetnju koju predstavljaju platforme phishing-as-a-service. Kako sajber kriminalci nastavljaju da razvijaju svoje taktike, organizacije i pojedinci moraju ostati na oprezu i usvojiti robusne sigurnosne mjere kako bi zaštitili svoje Microsoft 365 naloge i osjetljive informacije.
Izvor: CyberSecurityNews