据The 菜鸟Hacker News消息，研究人员近日发出警告，新型称一种恶意电子邮件活动正利用名为 Rockstar 2FA 的钓鱼动攻网络钓鱼即服务（PhaaS）工具包窃取 Microsoft 365 用户帐户凭证。

Trustwave 研究人员 Diana Solomon 和 John Kevin Adriano 表示，工具该恶意活动采用了 AitM 中间对手攻击，让轻允许攻击者拦截用户凭证和会话 cookie，菜鸟意味着即使启用了多因素身份验证 （MFA） 的新型用户仍然容易受到攻击。

Rockstar 2FA 被认为是钓鱼动攻 DadSec（又名 Phoenix）网络钓鱼工具包的亿华云更新版本，通过 ICQ、工具Telegram 和 Mail.ru 等服务以订阅模式进行广告宣传，让轻价格为期两周 200 美元（或每月 350 美元）
，菜鸟能够让没有技术专长的新型网络犯罪分子大规模开展攻击活动。

根据Rockstar 2FA的钓鱼动攻推广介绍 ，其工具包功能包括双因素身份验证 （2FA） 绕过、工具2FA cookie 收集 、模板下载让轻反机器人保护 、模仿流行服务的登录页面主题、完全无法检测 （FUD） 链接和 Telegram 机器人集成，并且还声称拥有一个 "更直观、用户友好的管理面板"
，使客户能够跟踪其网络钓鱼活动的状态、生成 URL 和附件，建站模板甚至个性化应用于所创建链接的主题。

Trustwave 发现的钓鱼邮件活动利用了不同的初始访问媒介 ，例如 URL、二维码和文档附件，除了使用合法的链接重定向器（例如，缩短的香港云服务器 URL、开放重定向、URL 保护服务或 URL 重写服务）作为绕过反垃圾邮件检测的机制外，该工具包还集成了使用 Cloudflare Turnstile 的反机器人检查
，以试图阻止对 AitM 网络钓鱼页面的自动分析。

Trustwave 还观察到该工具包利用 Atlassian Confluence 、Google Docs Viewer、源码下载LiveAgent 以及 Microsoft OneDrive 、OneNote 和 Dynamics 365 Customer Voice 等合法服务来托管钓鱼链接
。

与此同时 ，安全公司 ，Malwarebytes 披露了一个名为 Beluga 的网络钓鱼活动，该活动使用.HTM附件来欺骗收件人在虚假登录表单上输入 Microsoft OneDrive 凭证 ，然后将这些数据泄露给 Telegram 机器人。而该活动的推广传播渠道利用了社交媒体上的高防服务器网络钓鱼链接和在线网络博彩游戏广告。