Microsoft ontmantelt ONNX-phishing-as-a-service-infrastructuur.

​Microsoft en het Ministerie van Justitie hebben meer dan 240 domeinen in beslag genomen die werden gebruikt door klanten van ONNX, een phishing-as-a-service (PhaaS) platform, om bedrijven en individuen in de Verenigde Staten en wereldwijd te targeten sinds ten minste 2017.

Volgens het Digital Defense Report 2024 van Microsoft was ONNX (voorheen bekend als Caffeine) de belangrijkste Adversary in the Middle (AitM) phishingdienst op basis van het volume aan phishingberichten in de eerste helft van 2024. Tientallen tot honderden miljoenen phishing-e-mails richtten zich elke maand op Microsoft 365-accounts en klanten van verschillende andere technologiebedrijven.

“Deze ‘doe-het-zelf’-kits vormen een aanzienlijk deel van de tientallen tot honderden miljoenen phishingberichten die Microsoft elke maand observeert en de frauduleuze ONNX-operatie was een top 5 leverancier in de eerste helft van 2024,” vertelde Microsoft aan BleepingComputer.

“De frauduleuze ONNX-operatie bood phishingkits aan die waren ontworpen om verschillende bedrijven in de technologiesector te targeten, waaronder Google, DropBox, Rackspace en Microsoft.”

ONNX promootte en verkocht de phishingkits op Telegram met behulp van verschillende abonnementsmodellen (Basic, Professional en Enterprise), variërend van $150 tot $550 per maand.

De aanvallen, die ook via Telegram-bots werden aangestuurd, kwamen met ingebouwde mechanismen voor omzeiling van twee-factor-authenticatie (2FA) en richtten zich recentelijk op werknemers van financiële bedrijven (bij banken, aanbieders van diensten voor kredietverenigingen en particuliere financieringsbedrijven) met behulp van QR-code phishing (ook wel quashing genoemd) tactieken.

Deze e-mails bevatten PDF-bijlagen met schadelijke QR-codes die potentiële slachtoffers omleidden naar pagina’s die leken op legitieme Microsoft 365-inlogpagina’s en hen vroegen hun inloggegevens in te voeren.

“Dreigingsactoren maken gebruik van quishing-aanvallen omdat slachtoffers doorgaans QR-codes scannen op hun persoonlijke mobiele apparaten (die het slachtoffer mogelijk voor zakelijke doeleinden gebruikt, als onderdeel van het Bring Your Own Device (BYOD) programma van hun bedrijf),” waarschuwde de Amerikaanse toezichthouder van de effectenindustrie FINRA ook in een recent waarschuwingsbericht. “Als gevolg hiervan zijn deze aanvallen uitzonderlijk moeilijk te monitoren met typische endpoint-detectie.”

Voorbeeld van ONNX QR-code phishing e-mail
Voorbeeld van een ONNX QR-code phishing e-mail (EclecticIQ)

​Cybercriminelen die gebruikmaken van ONNX zijn bijzonder effectief geweest in het uitvoeren van hun aanvallen aangezien de phishingkits helpen om twee-factor-authenticatie (2FA) te omzeilen door 2FA-verzoeken te onderscheppen. Ze maken ook gebruik van bulletproof hosting-diensten die de verwijdering van phishingdomeinen vertragen en versleutelde JavaScript-code die zichzelf tijdens het laden van de pagina ontsleutelt, wat een extra laag van obscuratie toevoegt om detectie door anti-phishing scanneren te ontwijken.

“Deze aanvallen vormen een unieke uitdaging voor cyberbeveiligingsaanbieders omdat ze als een onleesbaar beeld verschijnen voor beveiligings- en scanfuncties,” zei Steven Masada, Assistant General Counsel bij de Digital Crimes Unit van Microsoft, vandaag.

De ONNX-operaties stopten abrupt in juni nadat Dark Atlas-beveiligingsonderzoekers de identiteit van de eigenaar, Abanoub Nady (online ook bekend als MRxC0DER), ontdekten en openbaar maakten.

“Door een burgerlijk gerechtelijk bevel dat vandaag werd ontgrendeld in het Eastern District of Virginia, leidt deze actie de kwaadaardige technische infrastructuur om naar Microsoft, waardoor de toegang van dreigingsactoren, inclusief de frauduleuze ONNX-operatie en zijn cybercrime-klanten, wordt afgesneden en het gebruik van deze domeinen in phishingaanvallen in de toekomst permanent wordt stopgezet,” voegde Masada toe.

“Ons doel in alle gevallen is om klanten te beschermen door kwaadaardige actoren af te snijden van de benodigde infrastructuur om te opereren en toekomstig cybercrimineel gedrag af te schrikken door de toetredingsdrempels en de kosten van het zakendoen aanzienlijk te verhogen. We worden vergezeld door mede-eiser LF (Linux Foundation) Projects, LLC, de merkhouder van de daadwerkelijk geregistreerde ‘ONNX’ naam en logo.”

In oktober verstoorden Microsoft en het Ministerie van Justitie ook de aanvalsinfrastructuur van Russische ColdRiver FSB-hackers door meer dan 100 domeinen in beslag te nemen die werden gebruikt in spear-phishingaanvallen tegen Amerikaanse overheidsmedewerkers en Russische non-profitorganisaties.

In december vorig jaar nam de Digital Crimes Unit van het bedrijf ook maatregelen tegen een grote cybercrime-as-a-service-aanbieder (Storm-1152) die meer dan 750 miljoen frauduleuze Microsoft-e-mailaccounts registreerde en miljoenen verdiende door ze aan andere cybercriminelen te verkopen.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----