Un nou platformă de phishing-as-a-service (PhaaS) numită ONNX Store vizează conturile Microsoft 365 ale angajaților din firme financiare folosind coduri QR în atașamente PDF.
Platforma poate viza atât conturile de email Microsoft 365, cât și Office 365 și funcționează prin intermediul boturilor Telegram și include mecanisme de bypass pentru autentificare în două pași (2FA).
Cercetătorii de la EclecticIQ, care au descoperit activitatea, cred că ONNX este o versiune rebranduită a kitului de phishing Caffeine gestionat de actorul de amenințare vorbitor de limba arabă MRxC0DER.
Mandiant a descoperit Caffeine în octombrie 2022, când platforma a vizat platformele ruse și chinezești în loc de serviciile occidentale.
EclecticIQ a observat atacuri ONNX în februarie 2024, distribuind emailuri de phishing cu atașamente PDF care conțin coduri QR malitioase care vizează angajații din bănci, furnizori de servicii de creditare și firme de finanțare privată.
Emailurile se fac drept departamentul de resurse umane, folosind actualizări de salariu ca momeală pentru a deschide PDF-urile, care sunt tematice după Adobe sau Microsoft.
Scanează codul QR de pe un dispozitiv mobil pentru a trece de protecțiile împotriva phishing-ului ale organizațiilor vizate, ducând victimele pe pagini de phishing care imită interfața legitimă de autentificare Microsoft 365.
Victima este îndemnată să-și introducă datele de autentificare și tokenul 2FA pe pagina falsă de autentificare, iar site-ul de phishing capturează aceste detalii în timp real.
Datele de autentificare și tokenul 2FA furate sunt imediat transmise atacatorilor prin WebSocket-uri, permițându-le să preiau contul țintei înainte ca autentificarea și tokenul MFA să expire.
De acolo, atacatorii pot accesa contul de email compromis pentru a exfiltra informații sensibile cum ar fi emailuri și documente sau pentru a vinde datele de autentificare pe dark web pentru atacuri malware și ransomware.
Din perspectiva cibercriminalilor care folosesc serviciul, ONNX este o platformă atrăgătoare și rentabilă.
Centrul de operațiuni este pe Telegram, unde boturile permit clienților să-și administreze operațiunile de phishing printr-o interfață intuitivă. În plus, există canale de suport dedicate pentru a asista utilizatorii cu orice probleme.
Șabloanele de phishing Microsoft Office 365 sunt personalizabile, iar serviciile de webmail sunt disponibile pentru trimiterea emailurilor de phishing către ținte.
Kitul de phishing ONNX folosește, de asemenea, cod JavaScript criptat care se decriptează în timpul încărcării paginii, adăugând un strat de obfuscare pentru a evita detectarea de către instrumentele și scanerele anti-phishing.
În plus, ONNX folosește serviciile Cloudflare pentru a preveni darea jos a domeniilor sale, inclusiv un CAPTCHA anti-bot și proxy IP.
Există, de asemenea, un serviciu de găzduire impenetrabil pentru a asigura că operațiunile nu sunt întrerupte de rapoarte și dărâmări, precum și servicii de protocol de desktop la distanță (RDP) pentru gestionarea campaniilor în mod sigur.
ONNX oferă patru nivele de abonament rezumate astfel:
În concluzie, ONNX Store reprezintă o amenințare periculoasă pentru deținătorii de conturi Microsoft 365, în special pentru companiile implicate în sectoarele mai largi ale serviciilor financiare.
Pentru a proteja împotriva atacurilor sofisticate de phishing, administratorii sunt recomandați să blocheze atașamentele PDF și HTML de la surse neverificate, să blocheze accesul la site-uri HTTPS cu certificate neîncredere sau expirate și să configureze chei de securitate hardware FIDO2 pentru conturile privilegiate de mare risc.
EclecticIQ a împărtășit și reguli YARA în raportul său pentru a ajuta la detectarea fișierelor PDF malitioase care conțin coduri QR ce duc către URL-uri de phishing.
Un nou kit de phishing V3B vizează clienții a 54 de bănci europene
Serviciul de phishing LabHost cu 40.000 de domenii a fost perturbat, 37 de persoane arestate
Noul toolkit de phishing folosește PWAs pentru a fura datele de autentificare
Backdoor-ul Warmcookie Windows este distribuit prin oferte de muncă false
Atacurile Gitloker abuzează de notificările GitHub pentru a distribui aplicații OAuth malitioase
Leave a Reply