2 min Security

Microsoft 365-gebruikers aangevallen via Rockstar 2FA

Microsoft 365-gebruikers aangevallen via Rockstar 2FA

Het nieuwe Phishing-as-a-Service-platform Rockstar 2FA probeert toegang te krijgen tot Microsoft 365-accounts. De campagne lokt slachtoffers naar een pagina die sterk lijkt op een authentiek Microsoft 365-inlogscherm. Daar worden gebruikers verleid om hun gebruikersnaam en wachtwoord in te voeren.

Rockstar 2FA maakt hierbij gebruik van Adversary-in-the-Middle (AiTM)-technieken. Met AiTM-technieken kan multi-factor authenticatie (MFA) worden omzeild door sessiecookies te onderscheppen. Een AiTM-server fungeert als proxy, die de inloggegevens naar een legitieme Microsoft-dienst stuurt om het authenticatieproces af te ronden. Vervolgens wordt de sessiecookie, die teruggestuurd wordt naar de browser, gestolen. Deze cookie geeft de aanvallers toegang tot het gebruikersaccount, ook als MFA is ingeschakeld. Zelfs de inloggegevens zijn niet meer nodig.

Verspreiding

De phishingcampagnes worden verspreid via gecompromitteerde diensten, zoals e-mailmarketingplatformen. Omdat deze diensten als betrouwbaar worden beschouwd, oogt de campagne professioneler. De phishing-e-mails bevatten vaak overtuigende neppe berichten. Denk aan notificaties over gedeelde documenten, waarschuwingen van de IT-afdeling, wachtwoordherstelverzoeken of payroll-gerelateerde meldingen.

Rockstar 2FA blijkt al maandenlang succesvol toegang te verkrijgen tot Microsoft 365-accounts. Het platform is een geüpdatete versie van eerdere campagnes zoals DadSec en Phoenix, die vooral in 2023 effectief waren. Volgens data van Trustwave zag Rockstar 2FA in mei een eerste grote golf van slachtoffers. Na een piek in augustus blijft het aantal aanvallen in oktober nog steeds hoog.

Tip: Ransomware-aanval op softwareleverancier treft logistiek Hema en Jumbo