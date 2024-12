I ricercatori di Sophos hanno scoperto una nuova piattaforma PhaaS (Phishing-as-a-Service), denominata FlowerStorm, che sembra una versione aggiornata di Rockstar 2FA. Viene offerta in abbonamento a cybercriminali che vogliono effettuare attacchi AiTM (Adversary-in-The-Middle) per aggirare l’autenticazione in due fattori e rubare le credenziali di accesso agli account Microsoft 365.

Come funziona FlowerStorm

Rockstar 2FA permetteva ai cybercriminali di creare siti di phishing simili a quelli legittimi e gestire gli attacchi tramite un semplice pannello, pagando 200 dollari per due settimane. Verso metà novembre, la piattaforma non era più accessibile a causa di un problema tecnico (non per l’intervento delle forze dell’ordine). FlowerStorm potrebbe essere una versione aggiornata, in quanto funziona in modo simile.

Anche la nuova piattaforma PhaaS permette di creare pagine di login simili a quelle di Microsoft 365 per rubare token MFA e credenziali degli account. La struttura delle pagine HTML è quasi identica con CAPTCHA di Cloudflare. I server di backend sono ospitati sugli stessi domini (principalmente .ru e .com). È quindi molto probabile che FlowerStorm sia gestita dagli stessi operatori.

In base alla telemetria di Sophos, la maggioranza dei target (aziende e utenti) si trova negli Stati Uniti (62,7%). Seguono Regno Unito e Canada. In Italia sono il 3% circa. I settori più colpiti sono quelli dei servizi, manifatturiero e retail.

Per evitare di cadere nella trappola dei cybercriminali è preferibile utilizzare l’autenticazione multi-fattore tramite chiavi di sicurezza hardware FIDO2 e implementare filtri per email e domini sospetti.