Uma nova plataforma de phishing como serviço (PhaaS) chamada ONNX Store está mirando em contas do Microsoft 365 para funcionários de empresas financeiras que usam códigos QR em anexos de PDF.
Serviço de phishing ONNX mira contas do Microsoft 365
A plataforma pode ser direcionada a contas de e-mail do Microsoft 365 e do Office 365 e opera por meio de bots do Telegram e possui mecanismos de desvio de autenticação de dois fatores (2FA). Os pesquisadores da EclecticIQ (Via: Bleeping Computer) que descobriram a atividade acreditam que o ONNX é uma versão renomeada do kit de phishing Caffeine gerenciado pelo ator de ameaças de língua árabe MRxC0DER.
Imagem: EclecticIQ
Ataques ONNX
A EclecticIQ observou ataques ONNX em fevereiro de 2024, distribuindo e-mails de phishing com anexos em PDF contendo códigos QR maliciosos que visavam funcionários de bancos, prestadores de serviços de cooperativas de crédito e empresas de financiamento privadas. Os e-mails personificam departamentos de recursos humanos (RH), usando atualizações salariais como iscas para abrir os PDFs, que têm como tema Adobe ou Microsoft.
Imagem: EclecticIQ
A leitura do código QR em um dispositivo móvel ignora as proteções contra phishing nas organizações visadas, levando as vítimas a páginas de phishing que imitam a interface de login legítima do Microsoft 365. A vítima é solicitada a inserir suas credenciais de login e token 2FA na página de login falsa, e o site de phishing captura esses detalhes em tempo real.
As credenciais roubadas e o token 2FA são imediatamente retransmitidos aos invasores por meio de WebSockets, permitindo-lhes sequestrar a conta do alvo antes que a autenticação e o token validado por MFA expirem.
Notícias Relacionadas
Desempenho otimizado
Cloudflare utiliza processadores AMD EPYC Genoa-X para otimizar seus servidores de próxima geração
A Cloudflare adotou os processadores AMD EPYC 9684X Genoa-X para seus servidores Gen 12, melhorando desempenho, eficiência energética e segurança, além de oferecer suporte robusto para IA/ML, com uma eficiência energética 63% superior em relação à geração anterior.
Licença restritiva
Winamp libera código com restrições incompatíveis com GitHub
O Winamp liberou seu código-fonte no GitHub, mas com uma licença que proíbe a distribuição de versões modificadas e forks, gerando críticas da comunidade. A licença também entra em conflito com as regras do GitHub, causando controvérsia.
A partir daí, os invasores podem acessar a conta de e-mail comprometida para exfiltrar informações confidenciais, como e-mails e documentos, ou vender as credenciais na dark web para ataques de malware e ransomware.
Os modelos de phishing do Microsoft Office 365 são personalizáveis e serviços de webmail estão disponíveis para enviar emails de phishing aos alvos .O kit de phishing ONNX também usa código JavaScript criptografado que se descriptografa durante o carregamento da página, adicionando uma camada de ofuscação para evitar a detecção por ferramentas e scanners anti-phishing.
Além disso, ONNX usa serviços Cloudflare para evitar que seus domínios sejam removidos, incluindo um CAPTCHA anti-bot e proxy IP.
A ONNX Store é uma ameaça perigosa para os titulares de contas do Microsoft 365, especialmente para empresas envolvidas nos setores mais amplos de serviços financeiros.
