FlowerStorm: El Nuevo Servicio de Phishing que Llenó el Vacío de Rockstar2FA

Un nuevo servicio de phishing-as-a-service (PhaaS) llamado FlowerStorm está ganando popularidad rápidamente tras el colapso del servicio Rockstar2FA. Este cambio representa una nueva amenaza para las organizaciones, ya que FlowerStorm continúa facilitando ataques sofisticados dirigidos a credenciales de Microsoft 365.

Rockstar2FA: Un Breve Resumen

Rockstar2FA, documentado por primera vez por Trustwave en noviembre de 2024, era una plataforma PhaaS que facilitaba ataques Adversary-in-the-Middle (AiTM) a gran escala contra credenciales de Microsoft 365. Ofrecía:

  • Mecanismos avanzados de evasión.
  • Un panel amigable para los usuarios.
  • Opciones de phishing personalizables, con una tarifa de $200 por dos semanas de acceso.

Sin embargo, el 11 de noviembre de 2024, Rockstar2FA sufrió un colapso parcial de su infraestructura, haciendo inaccesibles muchas de sus páginas. Según Sophos, esto no fue causado por una acción legal, sino por fallos técnicos.

El Surgimiento de FlowerStorm

Poco después, FlowerStorm, que había surgido discretamente en junio de 2024, comenzó a ganar tracción rápidamente. Sophos encontró similitudes significativas entre ambos servicios, lo que sugiere que FlowerStorm podría ser una versión rebrandeada de Rockstar2FA.

Entre estas similitudes destacan:

  • Portales de phishing: Ambos utilizan páginas que imitan accesos legítimos, como los de Microsoft, para recolectar credenciales y tokens MFA.
  • Estructura HTML similar: Incluyen comentarios aleatorios, seguridad con Cloudflare y mensajes como “Initializing browser security protocols.”
  • Métodos de recolección de datos: Emplean campos para email, contraseña y tokens de sesión, junto con validación de correos electrónicos y autenticación MFA en sus sistemas backend.
  • Dominio y hospedaje: Utilizan dominios .ru y .com con patrones de registro y hospedaje casi idénticos.
¿Rebranding o Coincidencia?

Sophos no ha confirmado un vínculo directo entre ambas plataformas, pero reconoce que los kits de phishing reflejan una posible herencia común. Podría tratarse de una reestructuración para reducir la exposición o simplemente una evolución impulsada por demandas del mercado.

Amenaza Creciente para las Organizaciones

Independientemente de sus orígenes, FlowerStorm representa un riesgo considerable. Según Sophos:

  • El 63% de las organizaciones y el 84% de los usuarios afectados se encuentran en Estados Unidos.
  • Los sectores más atacados incluyen servicios (33%), manufactura (21%), retail (12%) y servicios financieros (8%).
Recomendaciones de Protección

Para mitigar los riesgos asociados con FlowerStorm y otros servicios de phishing, se recomienda:

  1. Implementar autenticación multifactor (MFA) con tokens resistentes a AiTM, como los FIDO2.
  2. Utilizar filtros de correo electrónico para identificar y bloquear mensajes sospechosos.
  3. Habilitar filtros DNS que bloqueen dominios peligrosos (.ru, .moscow, .dev).
  4. Capacitar a los empleados para reconocer intentos de phishing.
Conclusión

El surgimiento de FlowerStorm subraya la evolución constante del cibercrimen. Mientras los actores maliciosos perfeccionan sus herramientas, es crucial que las organizaciones adopten tecnologías avanzadas y enfoques proactivos para protegerse.

 

Related Posts
Clear Filters

Más de 4,000 Backdoors web abandonados pero activos fueron secuestrados, y su infraestructura de comunicación fue hundida digitalmente después de…

La empresa multinacional de telecomunicaciones Telefónica ha confirmado que su sistema interno de gestión de tickets fue vulnerado, lo que…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.