Een nieuw phishing-as-a-service (PhaaS) platform genaamd ONNX Store richt zich op Microsoft 365-accounts van werknemers bij financiële bedrijven door gebruik te maken van QR-codes in PDF-bijlagen.
Het platform kan zowel Microsoft 365- als Office 365-e-mailaccounts aanvallen en werkt via Telegram-bots en heeft mechanismen om twee-factor-authenticatie (2FA) te omzeilen.
Onderzoekers bij EclecticIQ die deze activiteit hebben ontdekt, geloven dat ONNX een hernoemde versie is van het Caffeine phishing-kit, beheerd door de Arabisch sprekende dreigingsactor MRxC0DER.
Mandiant ontdekte Caffeine in oktober 2022, toen het platform zich richtte op Russische en Chinese platforms in plaats van op westerse diensten.

Aankondiging van rebrandingBron: EclecticIQ
ONNX-aanvallen
EclecticIQ zag ONNX-aanvallen in februari 2024, waarbij phishing-e-mails werden verspreid met PDF-bijlagen met kwaadaardige QR-codes die gericht waren op werknemers bij banken, aanbieders van dienstverleningen van kredietverenigingen en private financieringsbedrijven.
De e-mails imiteren afdelingen personeelszaken (HR), met salarisupdates als lokmiddel om de PDF’s te openen, die zijn gethematiseerd naar Adobe of Microsoft.

Kwaadaardige PDF-bijlageBron: EclecticIQ
Het scannen van de QR-code op een mobiel apparaat omzeilt phishingbescherming op de doelorganisaties, waardoor slachtoffers naar phishingpagina’s worden geleid die de legitieme Microsoft 365 inloginterface nabootsen.

De Microsoft 365 phishingpaginaBron: EclecticIQ
Het slachtoffer wordt gevraagd hun inloggegevens en 2FA-token in te voeren op de nep-inlogpagina, en de phishing-website vangt deze details in realtime op.
De gestolen inloggegevens en 2FA-token worden direct doorgestuurd naar de aanvallers via WebSockets, waardoor ze het account van het doelwit kunnen kapen voordat de authenticatie en MFA-gevalideerde token verlopen.

Het 2FA omzeilingsmechanismeBron: EclecticIQ
Vanaf daar kunnen de aanvallers toegang krijgen tot het gecompromitteerde e-mailaccount om gevoelige informatie zoals e-mails en documenten te exfiltreren, of de inloggegevens verkopen op het dark web voor malware- en ransomware-aanvallen.
Robust phishing platform
Vanuit het perspectief van de cybercriminelen die de service gebruiken, is ONNX een overtuigend en kosteneffectief platform.
Het centrum van operaties bevindt zich op Telegram, waar bots klanten in staat stellen hun phishing-operaties te beheren via een intuïtieve interface. Bovendien zijn er toegewijde ondersteuningskanalen om gebruikers te helpen met eventuele problemen.
De phishing-sjablonen van Microsoft Office 365 zijn aanpasbaar, en webmailservices zijn beschikbaar voor het verzenden van phishing-e-mails naar doelwitten.
Het ONNX phishing-kit gebruikt ook versleutelde JavaScript-code die zichzelf ontsleutelt tijdens het laden van de pagina, wat een extra laag van obfuscatie toevoegt om detectie door anti-phishingtools en -scanners te omzeilen.
Daarnaast gebruikt ONNX Cloudflare-services om te voorkomen dat zijn domeinen offline worden gehaald, inclusief een anti-bot CAPTCHA en IP-proxying.
Er is ook een bulletproof hosting-service om ervoor te zorgen dat de operaties niet worden onderbroken door meldingen en deactiveringen, evenals remote desktop protocol (RDP)-diensten voor het veilig beheren van de campagnes.

Bulletproof hosting aanbodBron: EclecticIQ
ONNX biedt vier abonnementsniveaus, als volgt samengevat:
Webmail Normaal ($150/maand): Biedt aanpasbare textelementen, een wachtwoordlus, Telegram ID-integratie, aangepaste omleidingslinks, en het automatisch ophalen van aangepaste domeinlogo’s.
Office Normaal ($200/maand): Inclusief echte inlog, eenmalige wachtwoorden, landblokkering, aangepaste paginatitels, wachtwoordlussen, Telegram-integratie, en aangepaste logo’s.
Office Omleiding ($200/maand): Biedt wildcard-links, volledig ondetecteerbare inbox-links, aangepaste paginatitels, dynamische codes, en automatische e-mailfunctie voor 2FA-omleidingen.
Office 2FA Cookie Stealer ($400/maand): Vangt 2FA-cookies op, ondersteunt offline 2FA en bevat aangepaste paginatitels, Telegram-integratie, dynamische codes, en linkstatistieken.

Kenmerken van niveaus in detailBron: EclecticIQ
Samengevat, ONNX Store is een gevaarlijke dreiging voor houders van Microsoft 365-accounts, met name voor bedrijven die actief zijn in de bredere financiële sector.
Om te beschermen tegen deze geavanceerde phishing-aanvallen, wordt beheerders aangeraden om PDF- en HTML-bijlagen van niet-geverifieerde bronnen te blokkeren, de toegang tot HTTPS-websites met onbetrouwbare of verlopen certificaten te blokkeren, en FIDO2-hardwarebeveiligingssleutels in te stellen voor hoog-risico, geprivilegieerde accounts.
EclecticIQ heeft ook YARA-regels gedeeld in haar rapport om te helpen bij het detecteren van kwaadaardige PDF-bestanden die QR-codes bevatten die naar phishing-URL’s leiden.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----