Специалисты Microsoft заявляют, что конфисковали 240 доменов и нарушили работу фишингового сервиса ONNX, работавшего по модели «фишинг как услуга» (Phishing-as-a-Service, PhaaS). Также исследователи обнародовали данные египтянина, который предположительно управляет ONNX.
По информации Microsoft, ONNX (также известный как Caffeine и FUHRER) активен с 2017 года и в первой половине 2024 года был ведущим фишинговым сервисом по объему отправленных сообщений. Так, ежемесячно через ONNX отправлялись десятки и сотни миллионов фишинговых писем, адресованных как клиентам Microsoft 365, так и других компаний.
ONNX предлагал своим пользователям фишинг-киты, предназначенные для атак на разные компании технологического сектора, включая Google, DropBox, Rackspace и Microsoft. Сервис рекламировал и продавал свои фишинговые наборы в Telegram, предлагая несколько уровней подписки (Basic, Professional и Enterprise) стоимостью от 150 до 550 долларов в месяц.
Отмечается, что сами атаки тоже управлялись через ботов в Telegram и имели встроенные механизмы обхода двухфакторной аутентификации (2ФА). В последнее время атаки в основном были направлены на сотрудников финансовых организаций (банков, кредитных союзов и частных финансовых фирм) с использованием фишинговых QR-кодов.
То есть письма злоумышленников содержали PDF-вложения с вредоносными QR-кодами, которые перенаправляли потенциальных жертв на страницы, напоминающие легитимные страницы для входа в Microsoft 365, где жертв просили ввести учетные данные.
Исследователи объясняют, что люди обычно сканируют QR-коды на своих личных мобильных устройствах, и в результате такие атаки крайне сложно отследить и предотвратить с помощью традиционных защитных решений.
Для перехвата 2ФА использовался «пуленепробиваемый» хостинг и зашифрованный код JavaScript, который расшифровывался во время загрузки страницы, добавляя дополнительный уровень обфускации, чтобы избежать обнаружения антифишинговыми сканерами.
Работа ONNX внезапно прервалась еще в июне текущего года, после того как исследователи из Dark Atlas выяснили и раскрыли личность владельца сервиса — гражданина Египта Абануба Нади (Abanoub Nady), также известного в сети под ником MRxC0DER. Теперь эту информацию подтверждают и аналитики Microsoft.
Также теперь же в Microsoft сообщают, что по решению суда компания получила контроль над «вредоносной технической инфраструктурой» сервиса, и благодаря этому Microsoft «навсегда прекращает использование этих доменов для фишинговых атак в будущем».
Отмечается, что конфискацию 240 доменов помогала осуществить организация Linux Foundation, которой принадлежат название и логотип ONNX (для Open Neural Network Exchange).
