网钓工具包横行，近期有不少研究人员公布黑客打造的新工具，但也有黑客更换名称持续活动的情况。

资安业者Trustwave揭露的Rockstar 2FA网钓工具包，就是典型的例子，这个工具包的前身，其实是去年5月出没的DadSec，而到了去年底，黑客先后更名为Phoenix、Rockstar 2FA，然后持续从事攻击行动。

研究人员在今年8月看到使用此网钓工具包的大规模网钓攻击，黑客组织Storm-1575发动对手中间人（AiTM）攻击，从而拦截受害者的帐密数据，以及连接阶段（Session）的cookie，而有机会绕过多因素验证机制，进而挟持Microsoft 365帐号。

根据他们的观察，这次对方的主要目标，很可能是想要浏览与汽车有关网站的用户，研究人员从5月开始，发现逾5千个与车辆相关的网域名称。

开发者通过即时通信软件ICQ、Telegram，以及电子邮件平台Mail.ru进行宣传，寻求买家租用。卖家标榜此套件能绕过双因素验证（2FA）、挖掘相关的cookie、防止机器人爬虫、多种登录网页主题，并且强调其搭配的URL具有杀毒完全无法被视为有害（FUD）特性。

分析该网钓套件之后，研究人员指出，黑客的手法先是滥用电子邮件行销平台，假借共享文件、密码重设、IT部门通知、工资单等名义做为诱饵，过程中使用QR Code、合法短网址服务、PDF附件等手法回避侦测。

接着，在收信人被引导到钓鱼网页之前，会进行过滤，然后要求进行Cloudflare Turnstile图灵验证，而这么做的目的，便是要排除网络爬虫机器人及研究人员。