據The Hacker News消息，研究人員近日發出警告，稱一種惡意電子郵件活動正利用名為 Rockstar 2FA 的網絡釣魚即服務（PhaaS）工具包竊取 Microsoft 365 用戶帳戶憑證。

Trustwave 研究人員 Diana Solomon 和 John Kevin Adriano 表示，該惡意活動采用了 AitM 中間對手攻擊，允許攻擊者攔截用戶憑證和會話 cookie，意味著即使啟用了多因素身份驗證 （MFA） 的用戶仍然容易受到攻擊。

Rockstar 2FA 被認為是 DadSec（又名 Phoenix）網絡釣魚工具包的更新版本，通過 ICQ、Telegram 和 Mail.ru 等服務以訂閱模式進行廣告宣傳，價格為期兩周 200 美元（或每月 350 美元），能夠讓沒有技術專長的網絡犯罪分子大規模開展攻擊活動。

根據Rockstar 2FA的推廣介紹，其工具包功能包括雙因素身份驗證 （2FA） 繞過、2FA cookie 收集、反機器人保護、模仿流行服務的登錄頁面主題、完全無法檢測 （FUD） 鏈接和 Telegram 機器人集成，并且還聲稱擁有一個 "更直觀、用戶友好的管理面板"，使客戶能夠跟蹤其網絡釣魚活動的狀態、生成 URL 和附件，甚至個性化應用于所創建鏈接的主題。

Trustwave 發現的釣魚郵件活動利用了不同的初始訪問媒介，例如 URL、二維碼和文檔附件，除了使用合法的鏈接重定向器（例如，縮短的 URL、開放重定向、URL 保護服務或 URL 重寫服務）作為繞過反垃圾郵件檢測的機制外，該工具包還集成了使用 Cloudflare Turnstile 的反機器人檢查，以試圖阻止對 AitM 網絡釣魚頁面的自動分析。

Trustwave 還觀察到該工具包利用 Atlassian Confluence、Google Docs Viewer、LiveAgent 以及 Microsoft OneDrive、OneNote 和 Dynamics 365 Customer Voice 等合法服務來托管釣魚鏈接。

與此同時，安全公司，Malwarebytes 披露了一個名為 Beluga 的網絡釣魚活動，該活動使用.HTM附件來欺騙收件人在虛假登錄表單上輸入 Microsoft OneDrive 憑證，然后將這些數據泄露給 Telegram 機器人。而該活動的推廣傳播渠道利用了社交媒體上的網絡釣魚鏈接和在線網絡博彩游戲廣告。