Pesquisadores de cibersegurança estão alertando sobre campanhas de e-mail maliciosas que utilizam uma ferramenta de phishing-como-serviço (PhaaS) chamada Rockstar 2FA. O objetivo dessas campanhas é roubar credenciais de contas do Microsoft 365 por meio de ataques conhecidos como adversário-no-meio (AiTM). Essa técnica permite que os atacantes interceptem tanto as credenciais dos usuários quanto os cookies de sessão, tornando até mesmo usuários com autenticação de múltiplos fatores (MFA) vulneráveis a esses ataques.

De acordo com pesquisadores, o Rockstar 2FA é uma versão atualizada do kit de phishing DadSec (também conhecido como Phoenix). A Microsoft monitora os desenvolvedores e distribuidores da plataforma DadSec sob o codinome Storm-1575. A ferramenta é promovida em plataformas como ICQ, Telegram e Mail.ru sob um modelo de assinatura que custa US$ 200 por duas semanas ou US$ 350 por um mês, permitindo que cibercriminosos sem grande conhecimento técnico conduzam ataques em larga escala.

Entre os recursos anunciados pelo Rockstar 2FA estão a capacidade de bypassar a autenticação de dois fatores (2FA), coleta de cookies de autenticação, proteção antibot, temas de páginas de login que imitam serviços populares, links indetectáveis e integração com bots do Telegram. Além disso, a ferramenta oferece um painel administrativo moderno que permite aos clientes acompanhar o status de suas campanhas de phishing, gerar URLs e até personalizar temas para os links criados.

As campanhas de e-mail observadas utilizam diversos vetores de acesso inicial, como URLs, códigos QR e anexos de documentos, enviados por contas comprometidas ou ferramentas de spam. As mensagens empregam iscas como notificações de compartilhamento de arquivos e solicitações de assinaturas eletrônicas. Para escapar de sistemas antispam, os atacantes utilizam redirecionadores legítimos, como URLs encurtadas, serviços de proteção de links e reescritores de URLs.