Компанія Microsoft провела успішну операцію з нейтралізації масштабного фішингового сервісу ONNX, що функціонував за моделлю PhaaS (Phishing-as-a-Service). В результаті спецоперації фахівцям з кібербезпеки вдалося встановити контроль над 240 шкідливими доменами та виявити ймовірного організатора платформи.
Історія та масштаби діяльності ONNX
Фішинговий сервіс ONNX, відомий також під назвами Caffeine та FUHRER, розпочав свою діяльність у 2017 році. До початку 2024 року платформа стала лідером серед подібних сервісів за обсягом розповсюджених фішингових повідомлень. Щомісячно через ONNX розсилалися сотні мільйонів шкідливих листів, спрямованих на користувачів Microsoft 365 та інших технологічних платформ.
Технічні особливості та методи обходу захисту
Зловмисники застосовували передові технічні рішення для подолання систем безпеки. Особливу увагу привертає використання QR-кодів у PDF-документах, які перенаправляли жертв на підроблені сторінки авторизації Microsoft 365. Такий підхід суттєво ускладнював виявлення атак традиційними засобами захисту, оскільки сканування QR-кодів зазвичай відбувається з особистих мобільних пристроїв.
Механізми подолання двофакторної автентифікації
Для обходу двофакторної автентифікації (2FA) використовувався спеціалізований хостинг підвищеної відмовостійкості та зашифрований JavaScript-код. Механізм розшифрування коду активувався безпосередньо під час завантаження сторінки, що дозволяло успішно уникати виявлення антифішинговими системами.
Комерційна модель та тарифікація послуг
ONNX пропонував різні тарифні плани через Telegram: від базового (Basic) до корпоративного (Enterprise), вартістю від 150 до 550 доларів на місяць. Клієнти отримували доступ до спеціалізованих фішингових наборів для атак на різні технологічні компанії, включаючи Google, DropBox, Rackspace та Microsoft.
Діяльність ONNX була припинена в червні 2024 року після того, як дослідники Dark Atlas встановили особу ймовірного власника – громадянина Єгипту Абануба Наді (Abanoub Nady), відомого під псевдонімом MRxC0DER. За рішенням суду Microsoft отримала контроль над шкідливою інфраструктурою за підтримки Linux Foundation, якій належать права на назву та логотип ONNX. Це унеможливлює подальше використання захоплених доменів для проведення фішингових атак та значно підвищує рівень кібербезпеки для користувачів хмарних сервісів.
