A Microsoft apreendeu 240 domínios utilizados por clientes da ONNX, uma plataforma Phishing-as-a-Service (PhaaS), para atacar empresas e indivíduos nos Estados Unidos e no mundo todo desde pelo menos 2017.
De acordo com o Relatório de Defesa Digital 2024 da Microsoft, a ONNX (também conhecida como Caffeine e FUHRER) foi o principal serviço de phishing Adversary in the Middle (AitM) em volume de mensagens de phishing durante o primeiro semestre de 2024.
Dezenas a centenas de milhões de emails phishing visaram contas do Microsoft 365 todos os meses e clientes de várias outras empresas de tecnologia.
"Esses kits 'faça você mesmo' representam uma parcela significativa das dezenas a centenas de milhões de mensagens de phishing observadas pela Microsoft a cada mês e a operação fraudulenta da ONNX foi um dos 5 principais fornecedores no primeiro semestre de 2024", informou a Microsoft.
A operação fraudulenta da ONNX oferecia kits de phishing projetados para visar uma variedade de empresas do setor de tecnologia, incluindo Google, DropBox, Rackspace e Microsoft.
A ONNX promoveu e vendeu os kits de phishing no Telegram usando vários modelos de assinatura (Básico, Profissional e Empresa), variando de 150 a 550 dólares mensais.
Os ataques, também controlados via bots do Telegram, vinham com mecanismos integrados de bypass de autenticação de dois fatores (2FA) e, mais recentemente, visaram funcionários de empresas financeiras (em bancos, provedores de serviços de união de crédito e firmas de financiamento privado) usando táticas de phishing via código QR (também conhecidas como quishing).
Esses e-mails incluíam anexos PDF contendo códigos QR maliciosos que redirecionavam as vítimas em potencial para páginas que se assemelhavam às páginas legítimas de login do Microsoft 365, pedindo que elas inserissem suas credenciais.
"Os atores de ameaças aproveitam os ataques de quishing porque as vítimas geralmente escaneiam códigos QR em seus dispositivos móveis pessoais (que a vítima pode usar para fins empresariais, como parte do programa Bring Your Own Device (BYOD) de suas empresas)", a FINRA, reguladora da indústria de valores mobiliários dos EUA, também alertou em um aviso recente.
Como resultado, esses ataques são excepcionalmente difíceis de monitorar com a detecção de endpoints típica.
Os criminosos cibernéticos usando a ONNX foram particularmente eficazes em realizar seus ataques, pois os kits de phishing ajudam a burlar a autenticação de dois fatores (2FA) interceptando solicitações de 2FA.
Eles também usam serviços de hospedagem à prova de balas que atrasam a retirada dos domínios de phishing e código JavaScript criptografado que se descriptografa durante o carregamento da página, adicionando uma camada extra de ofuscação para evitar a detecção por scanners anti-phishing.
"Esses ataques apresentam um desafio único para os provedores de cibersegurança, pois aparecem como uma imagem ilegível para recursos de segurança e de varredura", disse Steven Masada, Conselheiro Geral Adjunto na Unidade de Crimes Digitais da Microsoft, hoje.
As operações da ONNX foram abruptamente interrompidas em junho, após pesquisadores de segurança da Dark Atlas descobrirem e divulgarem a identidade de seu proprietário, Abanoub Nady (também conhecido online como MRxC0DER).
"Através de uma ordem judicial civil deslacrada hoje no Distrito Leste da Virgínia, essa ação redireciona a infraestrutura técnica maliciosa para a Microsoft, cortando o acesso de atores de ameaças, incluindo a operação fraudulenta da ONNX e seus clientes de cibercrime, e interrompendo permanentemente o uso desses domínios em ataques de phishing no futuro", adicionou Masada.
"Nosso objetivo em todos os casos é proteger os clientes, cortando os atores maliciosos da infraestrutura necessária para operar e desencorajar futuros comportamentos de cibercrime, aumentando significativamente as barreiras de entrada e o custo de fazer negócios.
Somos acompanhados pelo coautor LF (Linux Foundation) Projects, LLC, o proprietário da marca registrada do nome e logotipo 'ONNX' real."
Você pode encontrar a lista completa dos 240 domínios apreendidos na ação nos apêndices da reclamação deslacrada.
Em outubro, a Microsoft e o Departamento de Justiça também interromperam a infraestrutura de ataque dos hackers ColdRiver FSB da Rússia apreendendo mais de 100 domínios usados em ataques de spear-phishing contra funcionários do governo dos EUA e organizações sem fins lucrativos russas.
Em dezembro passado, a Unidade de Crimes Digitais da empresa também agiu contra um grande provedor de cibercrime-as-a-service (Storm-1152) que registrou mais de 750 milhões de contas fraudulentas de email da Microsoft e arrecadou milhões vendendo-as a outros cibercriminosos.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...