FlowerStorm заполнил вакуум после Rockstar2FA и стал новой угрозой для пользователей Microsoft 365

Новый сервис FlowerStorm, предоставляющий услуги фишинга по модели «Phishing-as-a-Service» (PhaaS), стремительно набирает популярность после исчезновения платформы Rockstar2FA. С момента своего появления в июне 2024 года FlowerStorm привлекает внимание киберпреступников своей эффективностью в краже данных пользователей Microsoft 365 и многофакторных токенов (MFA).

Исследователи Sophos установили, что FlowerStorm имеет много общего с Rockstar2FA, который прекратил работу в ноябре 2024 года из-за технических проблем. Оба сервиса предлагают инструменты для атак AiTM (adversary-in-the-middle), используют поддельные страницы входа Microsoft и применяют схожие методы сбора данных. Темы оформления были изменены с автомобильных на ботанические, но ключевые элементы дизайна и технологии остались почти идентичными.

FlowerStorm нацелен на пользователей и компании США — около 63% организаций и 84% пользователей, подвергшихся атакам, находятся в этой стране. Чаще всего целью становятся компании сферы услуг (33%), производства (21%), розничной торговли (12%) и финансового сектора (8%). Исследователи Sophos подчеркивают, что платформа, скорее всего, либо является ребрендингом Rockstar2FA, либо создана на её базе.

Для защиты от подобных угроз специалисты рекомендуют использовать токены FIDO2, устойчивые к атакам AiTM, внедрять фильтрацию электронной почты и DNS-запросов, а также блокировать доступ к подозрительным доменам, таким как .ru и .dev. FlowerStorm уже стал серьёзной угрозой для информационной безопасности, что требует повышенного внимания со стороны пользователей.