- Los investigadores dijeron que Rockstar2FA guardó silencio en noviembre de 2024
- Pero poco después apareció una nueva PaaS, con una infraestructura parcialmente superpuesta.
- La nueva PaaS se llama FlowerStorm y está dirigida a cuentas de Microsoft365
Investigadores de ciberseguridad de sofos Advierta que ha surgido una nueva herramienta de phishing como servicio (PaaS) que permite a los actores de amenazas buscar fácilmente las credenciales de Microsoft 365 de las personas.
Esa herramienta se llama FlowerStorm, y puede haber venido del (desaparecido) Rockstar2FA, reveló la compañía, señalando cómo en noviembre, las detecciones de Rockstar2FA “de repente se quedaron en silencio”.
La infraestructura de la organización fue desconectada, al menos en parte, por razones que aún se desconocen, pero los investigadores no creen que haya sido obra de las autoridades.
¿Viva la tormenta de flores?
Rockstar2FA era una plataforma PaaS diseñada para evitar la autenticación de dos factores (2FA), dirigida principalmente a cuentas de Microsoft 365. Funcionaba interceptando procesos de inicio de sesión para robar cookies de sesión, lo que permitía a los atacantes acceder a las cuentas sin necesidad de credenciales o códigos de verificación. Utilizando una interfaz simple y la integración de Telegram, los actores de amenazas con licencia podrían administrar sus campañas en tiempo real.
La nueva plataforma, que apareció en las semanas posteriores al silencio de Rockstar2FA, los investigadores la llamaron FlowerStorm. Al parecer, muchas de sus herramientas y características se superponen con las de Rockstar2FA, por lo que Sophos especula que podría ser el sucesor (espiritual).
La gran mayoría de los destinos seleccionados por los usuarios de FlowerStorm (84%) se encuentran en Estados Unidos, Canadá, Reino Unido, Australia e Italia, añadió Sophos.
Las empresas de Estados Unidos fueron las más atacadas (60%), seguidas de Canadá (8,96%). En general, casi todos (94%) los destinos de FlowerStorm estaban en América del Norte o Europa, y el resto correspondía a Singapur, India, Israel, Nueva Zelanda y los Emiratos Árabes Unidos.
La mayoría de las víctimas pertenecen a la industria de servicios, es decir, empresas que brindan servicios y asesoramiento de ingeniería, construcción, bienes raíces y legales.
Protegerse contra FlowerStorm es lo mismo que protegerse contra cualquier otro ataque de phishing: use el sentido común y tenga cuidado con los correos electrónicos entrantes.
