Компания Microsoft объявила об успешной операции по нейтрализации одного из крупнейших фишинговых сервисов ONNX, функционировавшего по модели «фишинг как услуга» (PhaaS). В результате проведенных мероприятий специалистам удалось захватить контроль над 240 вредоносными доменами и идентифицировать предполагаемого оператора платформы.
Масштабы и механизмы работы ONNX
ONNX, также известный под псевдонимами Caffeine и FUHRER, начал свою деятельность в 2017 году и к первой половине 2024 года стал лидером по объему рассылаемых фишинговых сообщений. Ежемесячный объем вредоносных рассылок достигал сотен миллионов писем, нацеленных как на пользователей Microsoft 365, так и на клиентов других технологических компаний.
Инновационные методы обхода защиты
Злоумышленники использовали передовые технические решения для обхода систем безопасности. Особое внимание привлекает применение QR-кодов в PDF-документах, перенаправляющих жертв на поддельные страницы авторизации Microsoft 365. Такой подход существенно затруднял обнаружение атак традиционными средствами защиты, поскольку сканирование QR-кодов обычно производится с личных мобильных устройств.
Технические особенности атак
Для преодоления двухфакторной аутентификации (2ФА) использовались специализированный хостинг повышенной отказоустойчивости и зашифрованный JavaScript-код. Механизм расшифровки кода активировался непосредственно при загрузке страницы, что позволяло успешно избегать обнаружения антифишинговыми системами.
Коммерческая модель и тарификация
Сервис предлагал различные тарифные планы через Telegram: Basic, Professional и Enterprise, стоимостью от 150 до 550 долларов в месяц. Клиентам предоставлялись специализированные фишинг-киты для атак на различные технологические компании, включая Google, DropBox, Rackspace и Microsoft.
Деятельность ONNX была прервана в июне 2024 года после того, как исследователи Dark Atlas установили личность предполагаемого владельца — гражданина Египта Абануба Нади (Abanoub Nady), известного под ником MRxC0DER. В рамках судебного решения Microsoft получила контроль над вредоносной инфраструктурой при поддержке Linux Foundation, которой принадлежат права на название и логотип ONNX. Эти меры гарантируют, что захваченные домены больше не будут использоваться для проведения фишинговых атак.
