Ha llegado una nueva plataforma de phishing como servicio (PaaS) dirigida a usuarios de Microsoft 365 llamada 'FflowerStorm'. La plataforma ha ganado rápidamente fuerza después de que su predecesor, Rockstar2FA, sufriera una interrupción inesperada en noviembre de 2024.
Rockstar2FA, una versión actualizada del kit de phishing DadSec, sufrió un colapso parcial de la infraestructura el 11 de noviembre de 2024.
Los investigadores de Sophos, Sean Gallagher y Mark Parsons, dicen que muchas de las páginas del servicio se han vuelto inaccesibles, pero es probable que esto se deba a fallas técnicas más que a acciones policiales.
Presentado por primera vez en junio de 2024, FlowerStorm llenó rápidamente el vacío dejado por Rockstar2FA. La nueva plataforma comparte varias características con su predecesora, incluidos mecanismos de evasión avanzados, paneles fáciles de usar y varias opciones de phishing.
Investigue enlaces maliciosos, malware y ataques de phishing del mundo real con ANY.RUN: pruébelo gratis
Al igual que Rockstar2FA, FflowerStorm emplea técnicas de intermediario (AiTM) para interceptar las credenciales de usuario y las cookies de sesión, evitando de manera efectiva las protecciones de autenticación multifactor. La plataforma utiliza un portal de phishing que imita una página de inicio de sesión legítima de Microsoft para recopilar credenciales y tokens MFA.
Ambas plataformas utilizan patrones de alojamiento y registro de dominio similares, haciendo un uso intensivo de los dominios .ru y .com y los servicios de Cloudflare. FlowerStorm sigue un tema botánico en sus operaciones, como lo demuestra el uso de términos relacionados con plantas como “flor”, “brote”, “flor” y “hoja” en los títulos de sus páginas HTML.
Detección de Rockstar2FA y FlowerStorm (Fuente: Sophos)
La telemetría de Sophos revela que aproximadamente el 63 % de las organizaciones objetivo de FflowerStorm y el 84 % de sus usuarios tienen su sede en los Estados Unidos. Los sectores más afectados incluyen servicios (33%), manufactura (21%), comercio minorista (12%) y servicios financieros (8%).
Para protegerse contra estos ataques de phishing avanzados, los expertos recomiendan utilizar autenticación multifactor utilizando tokens FIDO2 resistentes a AiTM, implementar soluciones de filtrado de correo electrónico y utilizar filtrado DNS para bloquear el acceso a dominios sospechosos.
El rápido ascenso de FlowerStorm pone de relieve la continua amenaza que plantean las plataformas de phishing como servicio. A medida que los ciberdelincuentes continúan evolucionando sus tácticas, las organizaciones y las personas deben permanecer alerta y emplear fuertes medidas de seguridad para proteger sus cuentas de Microsoft 365 y su información confidencial.
Resultados de la evaluación MITRE ATT&CK 2024 para pequeñas empresas y MSP -> Descargue la guía gratuita
