In einem bedeutenden Erfolg für die globale Cybersicherheit hat Microsoft die Zerschlagung von ONNX bekannt gegeben – einem der größten Phishing-as-a-Service (PhaaS) Anbieter weltweit. Die Operation führte zur Übernahme von 240 schädlichen Domains und zur Identifizierung des mutmaßlichen Betreibers.
ONNX: Ein führender Akteur im Phishing-Ökosystem
Der seit 2017 aktive Dienst, der auch unter den Namen Caffeine und FUHRER bekannt war, entwickelte sich bis Anfang 2024 zur dominierenden Kraft im Phishing-Sektor. Das monatliche Angriffsvolumen belief sich auf mehrere hundert Millionen Phishing-E-Mails, die sowohl auf Microsoft 365-Nutzer als auch auf Kunden anderer Tech-Unternehmen abzielten.
Innovative Taktiken zur Umgehung von Sicherheitssystemen
ONNX zeichnete sich durch hochentwickelte Techniken zur Überwindung von Sicherheitsmaßnahmen aus. Besonders bemerkenswert war der Einsatz von QR-Codes in PDF-Dokumenten, die Opfer zu gefälschten Microsoft 365-Anmeldeseiten weiterleiteten. Diese Methode erwies sich als äußerst effektiv, da QR-Codes typischerweise auf mobilen Geräten gescannt werden, die oft weniger streng abgesichert sind.
Technische Raffinesse der Angriffe
Die Infrastruktur von ONNX basierte auf hochverfügbarem Hosting und verschlüsseltem JavaScript-Code. Ein ausgeklügelter Entschlüsselungsmechanismus, der erst beim Seitenaufruf aktiviert wurde, ermöglichte es den Angreifern, gängige Anti-Phishing-Systeme zu umgehen und selbst Zwei-Faktor-Authentifizierung (2FA) zu kompromittieren.
Geschäftsmodell und Preisstruktur
Der Dienst vermarktete seine Leistungen über Telegram in verschiedenen Tarifstufen: Basic, Professional und Enterprise, mit monatlichen Gebühren zwischen 150 und 550 US-Dollar. Das Angebot umfasste spezialisierte Phishing-Kits für Angriffe auf verschiedene Technologieunternehmen, darunter Google, DropBox, Rackspace und Microsoft.
Die Ermittlungen von Dark Atlas führten zur Identifizierung des mutmaßlichen Betreibers, eines ägyptischen Staatsbürgers namens Abanoub Nady, der online unter dem Pseudonym MRxC0DER agierte. Durch gerichtliche Verfügung erhielt Microsoft die Kontrolle über die kriminelle Infrastruktur, unterstützt von der Linux Foundation, die die Rechte am Namen und Logo von ONNX hält. Diese Maßnahmen stellen sicher, dass die beschlagnahmten Domains nicht länger für Phishing-Aktivitäten missbraucht werden können. Der Fall unterstreicht die wachsende Bedeutung koordinierter Aktionen gegen cyberkriminelle Infrastrukturen und die Notwendigkeit verstärkter Sicherheitsmaßnahmen im digitalen Raum.
