據(jù)The Hacker News消息，研究人員近日發(fā)出警告，稱一種惡意電子郵件活動正利用名為 Rockstar 2FA 的網(wǎng)絡(luò)釣魚即服務(wù)（PhaaS）工具包竊取 Microsoft 365 用戶帳戶憑證。

Trustwave 研究人員 Diana Solomon 和 John Kevin Adriano 表示，該惡意活動采用了 AitM 中間對手攻擊，允許攻擊者攔截用戶憑證和會話 cookie，意味著即使啟用了多因素身份驗證 （MFA） 的用戶仍然容易受到攻擊。

Rockstar 2FA 被認為是 DadSec（又名 Phoenix）網(wǎng)絡(luò)釣魚工具包的更新版本，通過 ICQ、Telegram 和 Mail.ru 等服務(wù)以訂閱模式進行廣告宣傳，價格為期兩周 200 美元（或每月 350 美元），能夠讓沒有技術(shù)專長的網(wǎng)絡(luò)犯罪分子大規(guī)模開展攻擊活動。

根據(jù)Rockstar 2FA的推廣介紹，其工具包功能包括雙因素身份驗證 （2FA） 繞過、2FA cookie 收集、反機器人保護、模仿流行服務(wù)的登錄頁面主題、完全無法檢測 （FUD） 鏈接和 Telegram 機器人集成，并且還聲稱擁有一個 "更直觀、用戶友好的管理面板"，使客戶能夠跟蹤其網(wǎng)絡(luò)釣魚活動的狀態(tài)、生成 URL 和附件，甚至個性化應(yīng)用于所創(chuàng)建鏈接的主題。

Trustwave 發(fā)現(xiàn)的釣魚郵件活動利用了不同的初始訪問媒介，例如 URL、二維碼和文檔附件，除了使用合法的鏈接重定向器（例如，縮短的 URL、開放重定向、URL 保護服務(wù)或 URL 重寫服務(wù)）作為繞過反垃圾郵件檢測的機制外，該工具包還集成了使用 Cloudflare Turnstile 的反機器人檢查，以試圖阻止對 AitM 網(wǎng)絡(luò)釣魚頁面的自動分析。

Trustwave 還觀察到該工具包利用 Atlassian Confluence、Google Docs Viewer、LiveAgent 以及 Microsoft OneDrive、OneNote 和 Dynamics 365 Customer Voice 等合法服務(wù)來托管釣魚鏈接。

與此同時，安全公司，Malwarebytes 披露了一個名為 Beluga 的網(wǎng)絡(luò)釣魚活動，該活動使用.HTM附件來欺騙收件人在虛假登錄表單上輸入 Microsoft OneDrive 憑證，然后將這些數(shù)據(jù)泄露給 Telegram 機器人。而該活動的推廣傳播渠道利用了社交媒體上的網(wǎng)絡(luò)釣魚鏈接和在線網(wǎng)絡(luò)博彩游戲廣告。