La nouvelle menace de phishing Rockstar 2FA pour les utilisateurs de Microsoft 365

Une nouvelle plateforme de type Phishing-as-a-service surnommée “Rockstar 2FA” a été découverte facilitant la mise en place de campagnes malveillantes pour voler les identifiants des utilisateurs de Microsoft 365. Faisons le point sur cette menace.

Une nouvelle plateforme PhaaS pour Microsoft 365

À l’instar d’autres plateformes PhaaS, Rockstar 2FA permet aux attaquants de contourner l’authentification multifacteurs sur Microsoft 365, en interceptant les cookies de session de l’utilisateur.

Pour cela, le pirate se positionne en tant que man-in-the-middle lors de l’attaque, son serveur agissant comme un proxy. Les identifiants saisis par l’utilisateur sur la fausse page de connexion Microsoft 365 sont transmis au service légitime de Microsoft, permettant à l’attaquant d’achever le processus d’authentification et de capturer le cookie retourné à la fin du processus.

Ce que vous devez savoir sur Rockstar 2FA

La plateforme Rockstar 2FA est une version mise à jour des kits de phishing DadSec et Phoenix, apparus respectivement au début et à la fin de l’année 2023, selon les équipes de Trustwave.

D’après un nouveau rapport, Rockstar 2FA a gagné en popularité depuis août 2024, proposant des abonnements à 200 dollars pour deux semaines ou 180 dollars pour le renouvellement de l’accès à l’API, avec une promotion active sur Telegram.

Associée à plus de 5 000 domaines prêts à l’emploi, la plateforme offre des fonctionnalités telles que la prise en charge de Microsoft 365 et d’autres services, des liens et code source aléatoires pour éviter la détection, etc.

Les campagnes de phishing sont malheureusement accessibles à de nombreuses personnes malintentionnées avec des plateformes comme Rockstar 2FA, malgré le faible coût des abonnements et l’impact potentiellement grave d’une telle attaque.

Source : www.it-connect.fr