Μια νέα πλατφόρμα phishing-as-a-service (PhaaS), που ονομάζεται ONNX Store, στοχεύει λογαριασμούς Microsoft 365 υπαλλήλων χρηματοοικονομικών εταιρειών. Το ιδιαίτερο σε αυτές τις phishing επιθέσεις είναι η χρήση QR codes σε συνημμένα PDF.
Η πλατφόρμα μπορεί να στοχεύει λογαριασμούς email Microsoft 365 και Office 365 και λειτουργεί μέσω Telegram bots. Διαθέτει μηχανισμούς παράκαμψης του ελέγχου ταυτότητας δύο παραγόντων (2FA), κάτι που την καθιστά αρκετά αποτελεσματική.
Η phishing πλατφόρμα ONNX ανακαλύφθηκε από ερευνητές της EclecticIQ, οι οποίοι πιστεύουν ότι πρόκειται για μια ανανεωμένη έκδοση του phishing κιτ Caffeine. Η Mandiant ανακάλυψε την υπηρεσία Caffeine τον Οκτώβριο του 2022, όταν η πλατφόρμα στόχευε ρωσικές και κινεζικές πλατφόρμες αντί για δυτικές υπηρεσίες.
Επιθέσεις με τη νέα phishing πλατφόρμα ONNX
Η EclecticIQ παρατήρησε τις επιθέσεις ONNX τον Φεβρουάριο του 2024. Τα phishing emails περιείχαν συνημμένα PDF με κακόβουλα QR codes που στόχευαν υπαλλήλους σε τράπεζες, παρόχους πιστωτικών καρτών και ιδιωτικές εταιρείες χρηματοδότησης.
Δείτε επίσης: Νέα εργαλειοθήκη phishing χρησιμοποιεί PWA για κλοπή login credentials
Τα μηνύματα ηλεκτρονικού ταχυδρομείου υποδύονται τα τμήματα ανθρώπινου δυναμικού (HR) των εταιρειών στόχων και χρησιμοποιούν ως θέμα του email υποτιθέμενες ενημερώσεις μισθών, για να πείσουν τους υπαλλήλους να ανοίξουν τα PDF.
Η σάρωση του QR code σε μια κινητή συσκευή παρακάμπτει τις προστασίες phishing στους στοχευμένους οργανισμούς, οδηγώντας τα θύματα σε σελίδες ηλεκτρονικού “ψαρέματος” που μιμούνται τη νόμιμη διεπαφή σύνδεσης του Microsoft 365.
Σε εκείνο το σημείο, το θύμα καλείται να εισαγάγει τα credentials σύνδεσής του και το 2FA token στην ψεύτικη σελίδα σύνδεσης. Τα δεδομένα καταγράφονται στο phishing site και μεταφέρονται στους επιτιθέμενους σε πραγματικό χρόνο. Έτσι, μπορούν να παραβιάσουν τον λογαριασμό του στόχου πριν λήξει ο έλεγχος ταυτότητας.
Έπειτα, οι εισβολείς μπορούν να έχουν πρόσβαση στον παραβιασμένο λογαριασμό email και να κλέψουν ευαίσθητες πληροφορίες, όπως μηνύματα ηλεκτρονικού ταχυδρομείου και έγγραφα. Μπορούν ακόμα να πουλήσουν τα διαπιστευτήρια σύνδεσης σε άλλους κυβερνοεγκληματίες.
ONNX : Μια νέα σοβαρή απειλή στον τομέα του phishing
Για τους κυβερνοεγκληματίες, η phishing πλατφόρμα ONNX είναι μια συναρπαστική και οικονομικά αποδοτική πλατφόρμα.
Το κέντρο των λειτουργιών βρίσκεται στο Telegram, όπου τα bots επιτρέπουν στους πελάτες να διαχειρίζονται τις λειτουργίες phishing μέσω ενός intuitive interface. Επιπλέον, υπάρχουν ειδικά κανάλια υποστήριξης για παροχή οποιασδήποτε βοήθειας.
Τα phishing templates για τη στόχευση Microsoft Office 365 accounts είναι προσαρμόσιμα και οι υπηρεσίες webmail είναι διαθέσιμες για την αποστολή phishing emails σε στόχους.
Δείτε επίσης: Phishing emails προωθούν κακόβουλα scripts μέσω Windows search protocol
Επιπλέον, χρησιμοποιείται κρυπτογραφημένος κώδικας JavaScript που αποκρυπτογραφείται κατά τη φόρτωση της σελίδας, κάτι που βοηθά στην αποφυγή του εντοπισμού από εργαλεία ασφαλείας και σαρωτές.
Τέλος, το ONNX χρησιμοποιεί υπηρεσίες Cloudflare για να αποτρέψει την κατάργηση των domain του.
Η phishing υπηρεσία ONNX προσφέρει τέσσερα επίπεδα συνδρομής: Webmail Normal (150$/μήνα), Office Normal (200$/μήνα), Office Redirect ($200/month) και Office 2FA Cookie Stealer ($400/month). Καθένα προσφέρει διαφορετικές δυνατότητες στους επιτιθέμενους.
Συνολικά, το ONNX Store αποτελεί σημαντική απειλή για τους κατόχους λογαριασμών Microsoft 365, ειδικά για εταιρείες που δραστηριοποιούνται στον χρηματοοικονομικό κλάδο.
Προστασία από phishing
Οι χρήστες θα πρέπει να είναι προσεκτικοί και να είναι δύσπιστοι με email που λαμβάνουν χωρίς να το περιμένουν. Πρέπει να είναι πάντα ενήμεροι για τις τελευταίες τεχνικές phishing και να μάθουν πώς να αναγνωρίζουν τα ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου ή τις απάτες μέσω μηνυμάτων. Καλό είναι να αποφεύγεται το κλικ σε συνδέσμους και συνημμένα, που φαίνονται ύποπτα. Επίσης, δεν πρέπει να δίνονται προσωπικές και οικονομικές πληροφορίες σε τρίτους.
Δείτε επίσης: Phishing επιθέσεις: Σημαντική αύξηση σε ΗΠΑ και Ευρώπη
Βοηθητική είναι και η χρήση ενός αξιόπιστου λογισμικού ασφαλείας που παρέχει προστασία από κακόβουλο λογισμικό και ιούς. Αυτό μπορεί να βοηθήσει στην ανακάλυψη και την αποφυγή των επιθέσεων phishing.
Έπειτα, οι χρήστες πρέπει να είναι προσεκτικοί με τις εφαρμογές που κατεβάζουν και εγκαθιστούν στις συσκευές τους. Πρέπει να κατεβάζουν εφαρμογές μόνο από αξιόπιστες πηγές και να αποφεύγουν τις εφαρμογές που φαίνονται ύποπτες ή που δεν έχουν καλές κριτικές.
Τέλος, απαραίτητη είναι η χρήση διαφορετικών κωδικών πρόσβασης για διάφορους λογαριασμούς. Μην ξεχνάτε τη διπλή πιστοποίηση όπου είναι διαθέσιμη, για ένα επιπλέον επίπεδο ασφάλειας στους λογαριασμούς σας.
Πηγή: www.bleepingcomputer.com
, που ονομάζεται ONNX Store, στοχεύει λογαριασμούς Microsoft 365 υπαλλήλων χρηματοοικονομικών εταιρειών){kind=link}