フィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Rockstar2FA」が2024年11月11日に技術的障害により突如停止し、代わりに「FlowerStorm」が台頭しています。
FlowerStormは2024年6月から活動を開始し、Rockstar2FAの停止後、急速に活動を拡大しています。フィッシングポータルページのフォーマットやバックエンドサーバーへの接続方法に類似点があり、共通の起源を持つ可能性が指摘されています。
主な標的は米国、カナダ、イギリス、オーストラリア、イタリアなどで、特にエンジニアリング、建設、不動産、法務サービス、コンサルティング企業が狙われています。
from:Rockstar2FA Collapse Fuels Expansion of FlowerStorm Phishing-as-a-Service
【編集部解説】
フィッシング・アズ・ア・サービス(PhaaS)プラットフォーム「Rockstar2FA」が2024年11月11日に技術的障害により突如停止し、代わりに新たなサービス「FlowerStorm」が台頭している。
Rockstar2FAは、Microsoft 365アカウントの認証情報とセッションクッキーを収集し、多要素認証(MFA)を回避する機能を持つPhaaSツールキットで、2週間200ドル、1か月350ドルで提供されていた。
FlowerStormは2024年6月から活動を開始し、Rockstar2FAの停止後、急速に活動を拡大している。両サービスは、フィッシングポータルページのフォーマットやバックエンドサーバーへの接続方法に類似点があり、共通の起源を持つ可能性が指摘されている。
被害状況の内訳:
- 標的となった国:アメリカ(60%)、カナダ(8.96%)、イギリス(7%)が上位
- 標的業種:サービス業(33%)、製造業(21%)、小売業(12%)、金融サービス(8%)
FlowerStormは特にエンジニアリング、建設、不動産、法務サービス、コンサルティング企業を重点的に狙っている。両サービスともCloudflare Turnstileを悪用してボット対策を行い、主に.com、.de、.ru、.moscowドメインでフィッシングページをホストしている。
セキュリティ企業Sophosの研究者Sean GallagherとMark Parsonsによると、Rockstar2FAの停止は法執行機関による対策ではなく、技術的な障害が原因とされている。