Rockstar 2FA: Il Kit di Phishing che Bypassa l’MFA e Rende il Crimine Accessibile

Luca Galuppi : 1 Dicembre 2024 16:50

Considerare l’autenticazione multifattore (MFA) come una difesa assolutamente inviolabile non solo è un errore, ma una pericolosa sottovalutazione. Un toolkit chiamato Rockstar 2FA, sta prendendo di mira gli utenti di Microsoft 365 e Google con attacchi sofisticati che sfruttano la tecnica Adversary-in-the-Middle (AiTM). Questo metodo permette agli attaccanti di intercettare in tempo reale credenziali e cookie di sessione, bypassando anche le protezioni MFA più avanzate.

Il Toolkit

Rockstar 2FA è un kit di phishing-as-a-service (PhaaS) che, per una cifra contenuta di $200 per due settimane o $350 al mese, consente anche ai criminali informatici meno esperti di lanciare campagne sofisticate. Questo strumento avanzato offre funzionalità come il bypass dell’MFA, permettendo il furto dei cookie di sessione, protezione antibot per evitare i rilevamenti automatizzati, e la possibilità di creare temi personalizzabili che replicano perfettamente le pagine di login di servizi noti. Inoltre, i link generati sono FUD (Fully Undetectable), cioè totalmente invisibili ai sistemi di sicurezza, e l’interfaccia fornisce un pannello di controllo intuitivo, che consente ai criminali di gestire e monitorare facilmente le loro campagne. Queste caratteristiche rendono Rockstar 2FA uno strumento potente e pericoloso, accessibile anche a chi ha poca esperienza tecnica, trasformando il crimine informatico in un’attività sempre più strutturata e professionale.

Come funziona l’attacco?

Rockstar 2FA sfrutta una combinazione di vettori di attacco per colpire le sue vittime, utilizzando URL camuffati, codici QR e allegati dannosi inviati tramite account compromessi o strumenti di spamming. Una delle sue caratteristiche più insidiose è l’uso di piattaforme legittime come Google Docs Viewer e Microsoft OneDrive per ospitare i link di phishing, sfruttando così la fiducia degli utenti in questi servizi. Le false pagine di login, create con un’accuratezza estremamente dettagliata, imitano perfettamente quelle dei servizi reali. Una volta che l’utente inserisce le credenziali, queste vengono immediatamente inviate al server dell’attaccante, consentendogli di ottenere anche i cookie di sessione e aggirare le misure di autenticazione MFA.

CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub. Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati. Ricerca per singola CVE Ricerca le ultime CVE emesse Articolo sul CVE enrichment Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La minaccia di Rockstar 2FA si inserisce in una tendenza più ampia, in cui il phishing diventa sempre più accessibile e sofisticato grazie a strumenti come i phishing-as-a-service. Campagne parallele, come quella recentemente individuata da Malwarebytes e denominata Beluga, mostrano come i criminali utilizzino allegati dannosi per sottrarre credenziali, mentre altre operazioni fraudolente continuano a diffondere applicazioni dannose con la promessa di guadagni facili. Questi esempi sottolineano quanto sia fondamentale per le aziende e gli utenti finali mantenere alta la guardia contro attacchi sempre più avanzati e su misura.

Come difendersi?

In un contesto dove persino l’MFA può essere aggirato, la sicurezza richiede un approccio a 360 gradi. Ecco alcune misure essenziali:

• Monitoraggio continuo dei sistemi: monitorare in tempo reale per rilevare accessi sospetti e comportamenti anomali.
• Implementazione di soluzioni anti-phishing avanzate: soluzioni in grado di analizzare i link in tempo reale e bloccare quelli dannosi prima che raggiungano l’utente.
• Sensibilizzazione degli utenti: fornire formazione continua per riconoscere e gestire correttamente email sospette, in modo che diventino una prima linea di difesa contro il phishing.

Conclusione

Rockstar 2FA non è solo una minaccia, ma un campanello d’allarme che segnala l’evoluzione del crimine informatico. Con la capacità di aggirare l’autenticazione MFA, il phishing non è più una semplice minaccia, ma un attacco strutturato e mirato che richiede una protezione adeguata.

Le aziende non possono più permettersi di basarsi esclusivamente su soluzioni tradizionali. La protezione contro questi attacchi sofisticati è una necessità strategica, che richiede investimenti in soluzioni avanzate e una vigilanza continua per proteggere le risorse più critiche e salvaguardare la fiducia degli utenti.

Luca Galuppi
Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Lista degli articoli
Visita il sito web dell'autore