Forscher haben bekannt gegeben, dass Rockstar2FA im November 2024 still wurde. Doch kurz darauf tauchte eine neue PaaS auf, mit teilweise überlappenden Infrastrukturen. Die neue PaaS namens FlowerStorm zielt auf Microsoft365-Konten ab.

Cybersicherheitsforscher von Sophos haben gewarnt, dass ein neues Phishing-as-a-Service (PaaS) Tool aufgetaucht ist, welches es Angreifern ermöglicht, leicht nach den Microsoft 365-Zugangsdaten von Personen zu suchen. Dieses Tool namens FlowerStorm könnte aus dem (stillgelegten) Rockstar2FA entstanden sein, so das Unternehmen. Im November seien plötzlich keine Erkennungen für Rockstar2FA mehr vorhanden gewesen. Die Infrastruktur des Unternehmens wurde teilweise aus unbekannten Gründen offline genommen, aber die Forscher glauben nicht, dass dies das Werk der Strafverfolgungsbehörden war.

Lang lebe FlowerStorm?
Rockstar2FA war eine PaaS-Plattform, die darauf abzielte, die Zwei-Faktor-Authentifizierung (2FA) zu umgehen und hauptsächlich Microsoft 365-Konten ins Visier nahm. Sie funktionierte, indem sie den Anmeldevorgang abfing, um Sitzungscookies zu stehlen, was den Angreifern den Zugriff auf Konten ohne benötigte Zugangsdaten oder Verifizierungscodes ermöglichte. Über eine einfache Schnittstelle und die Integration von Telegram konnten Angreifer, die eine Lizenz erworben hatten, ihre Kampagnen in Echtzeit verwalten. Die neue Plattform namens FlowerStorm, die in den Wochen nach dem Stillschweigen von Rockstar2FA auftauchte, wurde von den Forschern so benannt. Berichten zufolge überschneiden sich viele ihrer Werkzeuge und Funktionen mit denen von Rockstar2FA, weshalb Sophos vermutet, dass es dessen (geistiger) Nachfolger sein könnte.

Der Großteil der von FlowerStorm-Benutzern ausgewählten Ziele (84%) befindet sich in den USA, Kanada, Großbritannien, Australien und Italien, fügte Sophos hinzu. Unternehmen in den USA waren am häufigsten betroffen (60%), gefolgt von Kanada (8,96%). Insgesamt befanden sich fast alle (94%) der FlowerStorm-Ziele entweder in Nordamerika oder Europa, während der Rest in Singapur, Indien, Israel, Neuseeland und den Vereinigten Arabischen Emiraten lag. Die Mehrheit der Opfer stammt aus dem Dienstleistungssektor, insbesondere Unternehmen aus den Bereichen Ingenieurwesen, Bauwesen, Immobilien, Recht und Beratung.

Sich gegen FlowerStorm zu verteidigen, funktioniert genauso wie gegen jeden anderen Phishing-Angriff – indem man gesunden Menschenverstand walten lässt und vorsichtig mit eingehenden E-Mails umgeht.