Специалисты по кибербезопасности зафиксировали активный рост новой фишинговой платформы FlowerStorm, которая заняла нишу после технического сбоя и последующего закрытия известного сервиса Rockstar2FA. Эксперты Sophos отмечают множество схожих характеристик между двумя платформами, что может свидетельствовать о проведенном ребрендинге.
Технический коллапс Rockstar2FA и появление нового игрока
11 ноября 2024 года инфраструктура Rockstar2FA, известной платформы типа PhaaS (Phishing-as-a-Service), подверглась серьезному техническому сбою, что привело к прекращению ее работы. Важно отметить, что прекращение деятельности не связано с действиями правоохранительных органов. На смену пришла платформа FlowerStorm, впервые обнаруженная еще в июне 2024 года, которая быстро завоевала популярность среди киберпреступников.
Общие черты и технические особенности платформ
Анализ технической инфраструктуры обеих платформ выявил множество сходств в их работе. FlowerStorm использует аналогичные Rockstar2FA методы, включая:
- Имитацию легитимных страниц входа Microsoft 365
- Размещение серверов в доменных зонах .com, .de, .ru и .moscow
- Схожую HTML-структуру фишинговых страниц
- Идентичные методы сбора учетных данных и валидации электронной почты
Масштабы и география атак
Исследование показало, что Rockstar2FA управляла сетью из более чем 2000 доменов. После ее закрытия FlowerStorm продемонстрировала стремительный рост активности. По данным Sophos, основными целями новой платформы являются организации (63%) и частные пользователи (84%) из США.
Технические индикаторы связи между платформами
Эксперты выявили несколько ключевых технических особенностей, указывающих на возможную связь между платформами:
- Идентичные паттерны регистрации доменов
- Схожие методы хостинга
- Синхронные колебания активности
- Аналогичные ошибки в конфигурации бэкенда
Стремительный рост активности FlowerStorm после закрытия Rockstar2FA представляет серьезную угрозу для кибербезопасности, особенно для корпоративных пользователей Microsoft 365. Организациям рекомендуется усилить меры защиты, включая внедрение многофакторной аутентификации и проведение регулярных тренингов по информационной безопасности для сотрудников.
