FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

据The Hacker News消息，研究人员近日发出警告，称一种恶意电子邮件活动正利用名为 Rockstar 2FA 的网络钓鱼即服务（PhaaS）工具包窃取 Microsoft 365 用户帐户凭证。

Trustwave 研究人员 Diana Solomon 和 John Kevin Adriano 表示，该恶意活动采用了 AitM 中间对手攻击，允许攻击者拦截用户凭证和会话 cookie，意味着即使启用了多因素身份验证 （MFA） 的用户仍然容易受到攻击。

Rockstar 2FA 被认为是 DadSec（又名 Phoenix）网络钓鱼工具包的更新版本，通过 ICQ、Telegram 和 Mail.ru 等服务以订阅模式进行广告宣传，价格为期两周 200 美元（或每月 350 美元），能够让没有技术专长的网络犯罪分子大规模开展攻击活动。

根据Rockstar 2FA的推广介绍，其工具包功能包括双因素身份验证 （2FA） 绕过、2FA cookie 收集、反机器人保护、模仿流行服务的登录页面主题、完全无法检测 （FUD） 链接和 Telegram 机器人集成，并且还声称拥有一个 "更直观、用户友好的管理面板"，使客户能够跟踪其网络钓鱼活动的状态、生成 URL 和附件，甚至个性化应用于所创建链接的主题。

Trustwave 发现的钓鱼邮件活动利用了不同的初始访问媒介，例如 URL、二维码和文档附件，除了使用合法的链接重定向器（例如，缩短的 URL、开放重定向、URL 保护服务或 URL 重写服务）作为绕过反垃圾邮件检测的机制外，该工具包还集成了使用 Cloudflare Turnstile 的反机器人检查，以试图阻止对 AitM 网络钓鱼页面的自动分析。

Trustwave 还观察到该工具包利用 Atlassian Confluence、Google Docs Viewer、LiveAgent 以及 Microsoft OneDrive、OneNote 和 Dynamics 365 Customer Voice 等合法服务来托管钓鱼链接。

与此同时，安全公司，Malwarebytes 披露了一个名为 Beluga 的网络钓鱼活动，该活动使用.HTM附件来欺骗收件人在虚假登录表单上输入 Microsoft OneDrive 凭证，然后将这些数据泄露给 Telegram 机器人。而该活动的推广传播渠道利用了社交媒体上的网络钓鱼链接和在线网络博彩游戏广告。

参考来源：

Phishing-as-a-Service "Rockstar 2FA" Targets Microsoft 365 Users with AiTM Attacks

本文为 独立观点，未经允许不得转载，授权请联系FreeBuf客服小蜜蜂，微信：freebee2022