Nel febbraio del 2024, gli analisti di EclecticIQ hanno scoperto campagne di phishing mirate agli account Microsoft 365 usati da dipendenti di istituzioni finanziarie. Gli attori della minaccia hanno utilizzato codici QR incorporati in allegati PDF per reindirizzare le vittime verso pagine di phishing.
Queste campagne sarebbero state realizzate tramite una piattaforma di Phishing-as-a-Service (PhaaS) chiamata ONNX Store, un servizio che funziona attraverso un’interfaccia user-friendly accessibile tramite bot di Telegram.
Caratteristiche
ONNX Store dispone di un meccanismo di bypass dell’autenticazione a due fattori che intercetta le richieste 2FA delle vittime. Eludendo la sicurezza 2FA, il kit aumenta il tasso di successo degli attacchi di compromissione della posta elettronica aziendale. Inoltre le pagine di phishing implementate sembrano vere interfacce di login di Microsoft 365, inducendo le vittime a inserire le proprie credenziali di accesso.
Il kit PhaaS ONNX permette di utilizzare inoltre:
- un codice JavaScript crittografato che si decrittografa durante il caricamento della pagina, aggiungendo un livello di offuscamento per eludere il rilevamento da parte di strumenti e scanner anti-phishing;
- i servizi Cloudflare per ostacolare la rimozione dei domini e sfruttare le funzionalità legittime CAPTCHA anti-bot e proxy IP.
Rebranding
Gli analisti di EclecticIQ ritengono con molta probabilità che questo il kit sia una versione ribrandizzata del kit di phishing Caffeine, scoperto per la prima volta da Mandiant nel 2022. Questa valutazione si basa su diverse evidenze e su quanto pubblicizzato dall’account Telegram del supporto ONNX Store.
Riconoscere e difendersi dal phishing
Il phishing è una delle truffe più comuni e insidiose online. I truffatori utilizzano tecniche sempre più sofisticate per ingannare gli utenti, spesso distratti e incauti, a cadere nelle trappole dei siti web fraudolenti. Le e-mail di phishing sembrano provenire da fonti attendibili, ma in realtà mirano a sottrarre dati personali come numeri di carte di credito e credenziali di accesso ai servizi bancari online.
Per proteggersi dal phishing, è fondamentale riconoscere i segnali di allarme e adottare misure preventive. Utilizzare un provider di posta elettronica affidabile, installare filtri antispam sul proprio PC e essere sempre vigili sui contenuti dei messaggi di posta elettronica sono solo alcuni dei passi che si possono compiere per difendersi da queste minacce.
Possibili implicazioni
La minaccia del phishing continua a evolversi, con piattaforme come ONNX Store che rendono più semplice per gli attori della minaccia organizzare attacchi sofisticati.
“Le credenziali di posta elettronica rubate ottenute attraverso queste campagne di phishing vengono spesso vendute su forum clandestini.“, conclude Arda Büyükkaya di EclecticIQ. “I gruppi ransomware ritengono che queste credenziali siano estremamente preziose e le utilizzano come vettore di compromissione iniziale per infiltrarsi nelle organizzazioni prese di mira. Ciò evidenzia le implicazioni più ampie di tali piattaforme di phishing, poiché non solo consentono guadagni finanziari immediati attraverso il furto di credenziali, ma contribuiscono anche alla compromissione a livello di dominio come gli attacchi ransomware.“.
È essenziale che le istituzioni finanziarie e gli utenti individuali rimangano sempre informati e vigilanti per proteggersi da queste tecniche fraudolente.
