Un nuevo servicio de phishing-as-a-service (PhaaS) llamado FlowerStorm está ganando popularidad rápidamente tras el colapso del servicio Rockstar2FA. Este cambio representa una nueva amenaza para las organizaciones, ya que FlowerStorm continúa facilitando ataques sofisticados dirigidos a credenciales de Microsoft 365.
Rockstar2FA: Un Breve Resumen
Rockstar2FA, documentado por primera vez por Trustwave en noviembre de 2024, era una plataforma PhaaS que facilitaba ataques Adversary-in-the-Middle (AiTM) a gran escala contra credenciales de Microsoft 365. Ofrecía:
- Mecanismos avanzados de evasión.
- Un panel amigable para los usuarios.
- Opciones de phishing personalizables, con una tarifa de $200 por dos semanas de acceso.
Sin embargo, el 11 de noviembre de 2024, Rockstar2FA sufrió un colapso parcial de su infraestructura, haciendo inaccesibles muchas de sus páginas. Según Sophos, esto no fue causado por una acción legal, sino por fallos técnicos.
El Surgimiento de FlowerStorm
Poco después, FlowerStorm, que había surgido discretamente en junio de 2024, comenzó a ganar tracción rápidamente. Sophos encontró similitudes significativas entre ambos servicios, lo que sugiere que FlowerStorm podría ser una versión rebrandeada de Rockstar2FA.
Entre estas similitudes destacan:
- Portales de phishing: Ambos utilizan páginas que imitan accesos legítimos, como los de Microsoft, para recolectar credenciales y tokens MFA.
- Estructura HTML similar: Incluyen comentarios aleatorios, seguridad con Cloudflare y mensajes como “Initializing browser security protocols.”
- Métodos de recolección de datos: Emplean campos para email, contraseña y tokens de sesión, junto con validación de correos electrónicos y autenticación MFA en sus sistemas backend.
- Dominio y hospedaje: Utilizan dominios .ru y .com con patrones de registro y hospedaje casi idénticos.
¿Rebranding o Coincidencia?
Sophos no ha confirmado un vínculo directo entre ambas plataformas, pero reconoce que los kits de phishing reflejan una posible herencia común. Podría tratarse de una reestructuración para reducir la exposición o simplemente una evolución impulsada por demandas del mercado.
Amenaza Creciente para las Organizaciones
Independientemente de sus orígenes, FlowerStorm representa un riesgo considerable. Según Sophos:
- El 63% de las organizaciones y el 84% de los usuarios afectados se encuentran en Estados Unidos.
- Los sectores más atacados incluyen servicios (33%), manufactura (21%), retail (12%) y servicios financieros (8%).
Recomendaciones de Protección
Para mitigar los riesgos asociados con FlowerStorm y otros servicios de phishing, se recomienda:
- Implementar autenticación multifactor (MFA) con tokens resistentes a AiTM, como los FIDO2.
- Utilizar filtros de correo electrónico para identificar y bloquear mensajes sospechosos.
- Habilitar filtros DNS que bloqueen dominios peligrosos (.ru, .moscow, .dev).
- Capacitar a los empleados para reconocer intentos de phishing.
Conclusión
El surgimiento de FlowerStorm subraya la evolución constante del cibercrimen. Mientras los actores maliciosos perfeccionan sus herramientas, es crucial que las organizaciones adopten tecnologías avanzadas y enfoques proactivos para protegerse.