Serviço de phishing ONNX tem como alvo contas do Microsoft 365

servico-de-phishing-onnx-tem-como-alvo-contas-do-microsoft-365

Uma nova plataforma de phishing como serviço (PhaaS) chamada ONNX Store está mirando em contas do Microsoft 365 para funcionários de empresas financeiras que usam códigos QR em anexos de PDF.

Serviço de phishing ONNX mira contas do Microsoft 365

A plataforma pode ser direcionada a contas de e-mail do Microsoft 365 e do Office 365 e opera por meio de bots do Telegram e possui mecanismos de desvio de autenticação de dois fatores (2FA). Os pesquisadores da EclecticIQ (Via: Bleeping Computer) que descobriram a atividade acreditam que o ONNX é uma versão renomeada do kit de phishing Caffeine gerenciado pelo ator de ameaças de língua árabe MRxC0DER.

servico-de-phishing-onnx-tem-como-alvo-contas-do-microsoft-365
Anúncio de rebranding
Imagem: EclecticIQ

Ataques ONNX

A EclecticIQ observou ataques ONNX em fevereiro de 2024, distribuindo e-mails de phishing com anexos em PDF contendo códigos QR maliciosos que visavam funcionários de bancos, prestadores de serviços de cooperativas de crédito e empresas de financiamento privadas. Os e-mails personificam departamentos de recursos humanos (RH), usando atualizações salariais como iscas para abrir os PDFs, que têm como tema Adobe ou Microsoft.

servico-de-phishing-onnx-tem-como-alvo-contas-do-microsoft-365
Anexo PDF malicioso
Imagem: EclecticIQ

A leitura do código QR em um dispositivo móvel ignora as proteções contra phishing nas organizações visadas, levando as vítimas a páginas de phishing que imitam a interface de login legítima do Microsoft 365. A vítima é solicitada a inserir suas credenciais de login e token 2FA na página de login falsa, e o site de phishing captura esses detalhes em tempo real.

As credenciais roubadas e o token 2FA são imediatamente retransmitidos aos invasores por meio de WebSockets, permitindo-lhes sequestrar a conta do alvo antes que a autenticação e o token validado por MFA expirem.

A partir daí, os invasores podem acessar a conta de e-mail comprometida para exfiltrar informações confidenciais, como e-mails e documentos, ou vender as credenciais na dark web para ataques de malware e ransomware.

Os modelos de phishing do Microsoft Office 365 são personalizáveis e serviços de webmail estão disponíveis para enviar emails de phishing aos alvos .O kit de phishing ONNX também usa código JavaScript criptografado que se descriptografa durante o carregamento da página, adicionando uma camada de ofuscação para evitar a detecção por ferramentas e scanners anti-phishing.

Além disso, ONNX usa serviços Cloudflare para evitar que seus domínios sejam removidos, incluindo um CAPTCHA anti-bot e proxy IP.

A ONNX Store é uma ameaça perigosa para os titulares de contas do Microsoft 365, especialmente para empresas envolvidas nos setores mais amplos de serviços financeiros.