Експерти з кібербезпеки компанії Sophos повідомляють про стрімке зростання активності нової фішингової платформи FlowerStorm, яка з’явилася на місці відомого сервісу Rockstar2FA. Детальний аналіз технічної інфраструктури вказує на можливий ребрендинг попередньої платформи, що становить серйозну загрозу для корпоративної безпеки.
Передумови появи нової загрози
11 листопада 2024 року інфраструктура Rockstar2FA, відомої платформи типу Phishing-as-a-Service (PhaaS), зазнала критичного технічного збою. Важливо зазначити, що припинення роботи платформи не пов’язане з діями правоохоронних органів. FlowerStorm, вперше виявлена в червні 2024 року, швидко заповнила утворену нішу, демонструючи подібні технічні характеристики та методи роботи.
Технічні особливості та методи атак
Дослідження виявило значні технічні збіги між платформами, що включають:
- Створення точних копій сторінок автентифікації Microsoft 365
- Використання доменних зон .com, .de, .ru та .moscow
- Ідентичну структуру HTML-коду фішингових сторінок
- Аналогічні механізми збору та валідації облікових даних
Масштаб та цільова аудиторія кібератак
За даними дослідження Sophos, основними мішенями FlowerStorm стали організації (63%) та приватні користувачі (84%) зі Сполучених Штатів. Після припинення роботи Rockstar2FA, яка керувала мережею з понад 2000 доменів, нова платформа демонструє експоненціальне зростання активності.
Технічні індикатори спорідненості платформ
Аналітики виявили низку технічних особливостей, що вказують на можливий зв’язок між сервісами:
- Однакові шаблони реєстрації доменних імен
- Уніфіковані методи хостингу
- Корельовані піки активності
- Спільні помилки в налаштуваннях серверної частини
Враховуючи масштаби загрози, організаціям рекомендується посилити заходи захисту корпоративних систем. Це включає обов’язкове впровадження багатофакторної автентифікації, регулярне навчання персоналу з питань інформаційної безпеки та використання спеціалізованих інструментів виявлення фішингових атак. Особливу увагу слід приділити захисту облікових записів Microsoft 365, оскільки вони залишаються основною ціллю зловмисників.
