Новая платформа "фишинг как услуга" (PhaaS), известная как ONNX Store, нацелена на учетные записи Microsoft 365 сотрудников финансовых фирм, используя QR-коды во вложениях PDF. Платформа работает с помощью ботов Telegram и имеет механизмы обхода двухфакторной аутентификации (2FA).
По мнению исследователей из EclecticIQ, ONNX является переработанной версией фишингового набора Caffeine, управляемого арабоязычным злоумышленником MRxC0DER. Впервые платформа Caffeine была обнаружена компанией Mandiant в октябре 2022 года, когда она была нацелена на российские и китайские платформы вместо западных сервисов.
В феврале 2024 года EclecticIQ зафиксировали атаки ONNX, направленные на сотрудников банков, кредитных союзов и частных финансовых фирм. Фишинговые электронные письма, замаскированные под сообщения от отделов кадров (HR), содержали PDF-вложения с вредоносными QR-кодами. Сканирование QR-кода на мобильном устройстве позволяло злоумышленникам обойти защиту от фишинга и перенаправить жертв на поддельные страницы входа в Microsoft 365.
Жертвам предлагалось ввести свои учетные данные и токен 2FA на поддельной странице входа, что позволяло злоумышленникам мгновенно получать доступ к учетным данным и токену через WebSockets. Это позволяло им взломать учетную запись до истечения срока действия токена аутентификации и проверки MFA. Затем они могли получить доступ к скомпрометированной учетной записи, фильтровать конфиденциальную информацию или продать учетные данные в темной сети для дальнейших атак.
ONNX представляет собой привлекательную и экономически эффективную платформу для киберпреступников. Операционный центр находится в Telegram, где боты позволяют управлять фишинговыми операциями через интуитивно понятный интерфейс. ONNX использует зашифрованный код JavaScript и сервисы Cloudflare для обхода антифишинговых инструментов и защиты от отключения доменов. Платформа предлагает четыре уровня подписки с различными возможностями для фишинговых кампаний.
Для защиты от таких изощренных фишинговых атак рекомендуется блокировать вложения в формате PDF и HTML из непроверенных источников, блокировать доступ к веб-сайтам с ненадежными сертификатами и настраивать аппаратные ключи безопасности FIDO2 для привилегированных учетных записей. Очень важно также обучать сотрудников распознавать фишинг, чтобы они могли эффективно защищаться от подобных угроз.
