Serviço de phishing ONNX visa contas do Microsoft 365 em empresas financeiras

A ONNX Store, uma recente plataforma de phishing-as-a-service (PhaaS), está a visar contas de email do Microsoft 365 e do Office 365 de funcionários de empresas financeiras que usam códigos QR em anexos de PDF. A plataforma opera através de bots do Telegram e possui mecanismos de desvio de autenticação de dois fatores.

Em fevereiro de 2024, a EclecticIQ observou ataques com recurso à ONNX, em que eram distribuídos emails de phishing com anexos em PDF que continham códigos QR maliciosos. Foram visados funcionários de bancos, prestadores de serviços de cooperativas de crédito e empresas de financiamento privadas.

Os emails de phishing fazem-se passar por departamentos de recursos humanos e utilizam como iscas atualizações salariais para levar os profissionais visados a abrir os PDF, que têm como tema Adobe ou Microsoft.

A leitura destes códigos QR num dispositivo móvel permite ignorar as proteções contra phishing nas organizações visadas, direcionando os indivíduos-alvo para páginas de phishing que imitam a interface de login legítima do Microsoft 365. De seguida, as vítimas são solicitadas a inserir as suas credenciais de login e token de autenticação de dois fatores na página de login falsa, sendo que o site de phishing captura estes dados em tempo real.

Tanto as credencias como o token exfiltrados são, de imediato, retransmitidos aos invasores através de WebSockets, permitindo-lhes obter acesso à conta visada antes que a autenticação e o token validado por MFA expirem.

A partir daí, os cibercriminosos podem aceder à conta de email comprometida para furtar informações confidenciais, incluindo emails e documentos, ou vender as credenciais na dark web para ataques de malware e ransomware.

Os investigadores da EclecticIQ acreditam que a plataforma é uma versão renomeada do kit de phishing Caffeine, gerido pelo ator de ameaças de língua árabe MRxC0DER. Em outubro de 2022, a Caffeine foi descoberta pela Mandiant, quando esta tinha como alvo plataformas russas e chinesas em vez de serviços ocidentais.

Plataforma de phishing-as-a-service

A ONNX pode ser uma plataforma atraente e económica para cibercriminosos que utilizam o serviço. O centro de operações está no Telegram, onde os bots possibilitam aos clientes proceder à gestão das suas operações de phishing através de uma interface intuitiva. Existem ainda canais de apoio aos utilizadores.

Os modelos de phishing do Microsoft Office 365 são personalizáveis, estando disponíveis serviços de webmail para enviar emails de phishing aos alvos. O kit de phishing ONNX utiliza também código JavaScript criptografado, que se descriptografa durante o loading da página. Isto permite adicionar uma camada de ofuscação reforçada para fugir à deteção por ferramentas e scanners anti-phishing.

Além disto, a ONNX recorre a serviços da Cloudflare com vista a evitar que os seus domínios sejam desativados, incluindo um CAPTCHA anti-bot e proxy IP.