Cada vez dependemos más de plataformas como Microsoft 365 para trabajar, comunicarnos y guardar información importante, y eso no pasa desapercibido para los ciberdelincuentes. Siempre están un paso adelante, buscando nuevas formas de atacar. Ahora, un nuevo servicio de phishing llamado FlowerStorm está ganando popularidad, y no es cualquier amenaza. Este sistema de "phishing como servicio" (PhaaS) facilita el robo masivo de credenciales de Microsoft 365.
A finales de noviembre de 2024, los investigadores de Trustwave identificaron a Rockstar2FA, una plataforma de phishing como servicio (PhaaS) que se dedicaba a facilitar ataques masivos tipo "adversario en el medio" (AiTM). Básicamente, esta herramienta estaba diseñada para robar credenciales de Microsoft 365 a gran escala y hacerle la vida más fácil a los ciberdelincuentes.
Mientras Rockstar2FA desapareció tras problemas técnicos, FlowerStorm, que ya operaba desde junio de ese mismo año, rápidamente tomó su lugar. Su facilidad de uso, herramientas avanzadas y precios accesibles han hecho que los cibercriminales lo adopten como su nuevo favorito. Pero ¿cómo funciona exactamente? ¿Por qué deberías preocuparte? Y, sobre todo, ¿qué puedes hacer para mantenerte protegido? Sigue leyendo, porque esto no es un simple susto; es una amenaza real que puede impactarte a ti o a tu empresa.
Detecciones de Rockstar2FA (Fuenta: Sophos)
¿Es FlowerStorm el "nuevo rostro" de Rockstar2FA?
El nuevo servicio de phishing FlowerStorm parece tener mucho en común con Rockstar2FA, lo que ha llevado a especular que podría tratarse de un simple cambio de nombre para evitar la atención no deseada. Ambas plataformas comparten varias características que sugieren una conexión, ya sea por un origen común o por algún tipo de colaboración. Por ejemplo:
- Ambas usan portales de phishing que imitan páginas de inicio de sesión legítimas, como las de Microsoft, para capturar credenciales y tokens de autenticación de múltiples factores (MFA).
- Mientras Rockstar2FA utilizaba scripts PHP aleatorios, FlowerStorm ha optado por estandarizarlos bajo "next.php".
- Las páginas de phishing tienen un diseño muy similar, con detalles repetidos como comentarios de texto aleatorio en el código, protección de Cloudflare y mensajes como "Iniciando protocolos de seguridad del navegador".
- Incluso los temas muestran un cambio estratégico: Rockstar2FA usaba referencias automotrices, mientras que FlowerStorm se inclinó hacia un estilo botánico, aunque mantuvieron la misma estructura base.
- En cuanto a la recolección de credenciales, ambas plataformas solicitan información similar: correo electrónico, contraseña y tokens de autenticación de sesión, además de ofrecer validación de MFA desde sus servidores backend.
- Los dominios que utilizan también muestran patrones casi idénticos, con un enfoque en extensiones como ".ru" y ".com" y el uso intensivo de servicios como Cloudflare.
Además, ambas plataformas parecen haber tenido subidas y bajadas en su actividad en paralelo hasta finales de 2024, lo que refuerza la idea de que podrían estar relacionadas. Mientras Rockstar2FA manejaba más de 2000 dominios antes de su caída, FlowerStorm creció rápidamente tras ese colapso, lo que sugiere que aprovecharon una infraestructura preexistente.
Aunque no hay pruebas definitivas de que Rockstar2FA y FlowerStorm sean operados por las mismas personas, las similitudes en su diseño y comportamiento apuntan a que, como mínimo, comparten un origen común. Otra posibilidad es que estos patrones sean resultado de tendencias del mercado más que de una coordinación directa.
En cualquier caso, lo que queda claro es que FlowerStorm no es un actor aislado. Representa una evolución en las tácticas de phishing que sigue aprovechando sistemas sofisticados y bien estructurados para facilitar ataques masivos y rentables.
Podría interesarte leer: Seguridad Avanzada en Microsoft 365 con TecnetProtect
Un nuevo peligro en el radar
No importa cuál sea el origen exacto de FlowerStorm, lo cierto es que representa un nuevo riesgo para usuarios y empresas. Esta plataforma se ha convertido en otra herramienta poderosa para facilitar ataques de phishing que pueden escalar fácilmente a ciberataques más graves.
Las estadísticas muestran que Estados Unidos es el principal objetivo de estos ataques, con el 63% de las organizaciones y el 84% de los usuarios afectados ubicados allí. Los sectores más golpeados incluyen servicios (33%), manufactura (21%), comercio minorista (12%) y servicios financieros (8%).
Objetivos de FlowerStorm (Fuente: Sophos)
Si bien las cifras son alarmantes, hay formas de protegerse contra estas amenazas. Algunas medidas clave incluyen:
- Usar autenticación multifactor (MFA): Idealmente con tokens FIDO2, que son más resistentes a ataques sofisticados como los de "adversario en el medio" (AiTM).
- Implementar soluciones de filtrado de correo electrónico: Herramientas como TecnetProtect pueden ser de gran ayuda para identificar y bloquear correos sospechosos antes de que lleguen a las bandejas de entrada. Estas soluciones no solo filtran el spam, sino que también detectan enlaces y archivos adjuntos maliciosos en tiempo real.
- Activar el filtrado de DNS: Esto puede prevenir el acceso a dominios sospechosos, especialmente aquellos con extensiones como .ru, .moscow o .dev.
- Capacitación en ciberseguridad: Para las empresas, la capacitación en ciberseguridad no es opcional, es esencial. Asegúrate de implementar programas regulares de formación para tu equipo, centrados en cómo identificar intentos de phishing y otras amenazas comunes. Incluir simulaciones de ataques reales puede ser una estrategia efectiva para fortalecer las habilidades de reconocimiento de riesgos y preparar a los empleados para reaccionar de forma adecuada ante posibles incidentes.
Tomar estas precauciones no solo reduce el riesgo de caer en un ataque de phishing, sino que también fortalece la postura de seguridad general de tu organización o tus cuentas personales.
