Onnx Store adlı yeni bir Hizmet Olarak Kimlik Yardımı (PHAAS) platformu, PDF eklerinde QR kodlarını kullanan finansal firmalardaki çalışanlar için Microsoft 365 hesaplarını hedefliyor.
Platform hem Microsoft 365 hem de Office 365 e-posta hesaplarını hedefleyebilir ve Telegram botları aracılığıyla çalışabilir ve iki faktörlü kimlik doğrulama (2FA) baypas mekanizmalarına sahiptir.
Etkinliği keşfeden Eclecticiq'teki araştırmacılar, ONNX'in Arapça konuşan tehdit oyuncusu MRXC0der tarafından yönetilen kafein kimlik avı kitinin yeniden markalı bir versiyonu olduğuna inanıyorlar.
Mantiant, platformun Batı hizmetleri yerine Rus ve Çin platformlarını hedef aldığı Ekim 2022'de kafein keşfetti.
ECLECTICIQ, Şubat 2024'te ONNX saldırılarını gözlemledi ve kimlik avı e -postalarını bankalarda, kredi birliği servis sağlayıcılarında ve özel finansman firmalarında çalışanları hedefleyen kötü amaçlı QR kodları içeren PDF ekleri ile dağıttı.
E -postalar, Adobe veya Microsoft'tan sonra temalı olan PDF'leri açmak için lures olarak maaş güncellemelerini kullanarak insan kaynakları (İK) departmanlarını taklit eder.
Bir mobil cihazda QR kodunu taramak, hedeflenen kuruluşlardaki kimlik avı korumalarını atlayarak kurbanları meşru Microsoft 365 giriş arayüzünü taklit eden kimlik avı sayfalarına götürür.
Mağdurun sahte giriş sayfasına giriş kimlik bilgilerini ve 2FA jetonunu girmesi istenir ve kimlik avı sitesi bu ayrıntıları gerçek zamanlı olarak yakalar.
Çalınan kimlik bilgileri ve 2FA jetonu, WebSockets aracılığıyla hemen saldırganlara aktarılır ve kimlik doğrulama ve MFA validasyonlu jetonun süresi dolmadan hedefin hesabını kaçırmalarına izin verir.
Saldırganlar oradan, e -postalar ve belgeler gibi hassas bilgileri dışarı atmak veya kötü amaçlı yazılım saldırıları için karanlık web'deki kimlik bilgilerini satmak için tehlikeye atılan e -posta hesabına erişebilir.
Hizmeti kullanan siber suçluların perspektifinden bakıldığında, ONNX zorlayıcı ve uygun maliyetli bir platformdur.
Operasyonların merkezi, botların müşterilerin kimlik avı operasyonlarını sezgisel bir arayüz aracılığıyla yönetmelerini sağladığı Telegram üzerindedir. Ayrıca, kullanıcılara herhangi bir sorunda yardımcı olacak özel destek kanalları vardır.
Microsoft Office 365 kimlik avı şablonları özelleştirilebilir ve Webmail hizmetleri, kimlik avı e -postalarını hedeflere göndermek için kullanılabilir.
Onnx Phishing Kit ayrıca, sayfa yükü sırasında kendini şifresini çözen şifreli JavaScript kodu kullanır ve anti-avlama araçları ve tarayıcılar tarafından algılamadan kaçmak için bir şaşkınlık katmanı ekler.
Ayrıca, ONNX, bir anti-bot captcha ve IP proxying dahil olmak üzere alanlarının kaldırılmasını önlemek için Cloudflare hizmetlerini kullanır.
Ayrıca, operasyonların raporlar ve yayından kaldırma işlemlerinin yanı sıra Kampanyaları güvenli bir şekilde yönetmek için Uzak Masaüstü Protokolü (RDP) hizmetleri tarafından kesintiye uğramamasını sağlamak için bir kurşun geçirmez barındırma hizmeti de vardır.
ONNX, aşağıdaki gibi özetlenen dört abonelik katmanı sunar:
Sonuç olarak, Onnx Store, özellikle daha geniş finansal hizmetler sektörlerine katılan şirketler için Microsoft 365 hesap sahipleri için tehlikeli bir tehdittir.
Sofistike kimlik avı saldırılarına karşı korumak için yöneticilerin, doğrulanmamış kaynaklardan PDF ve HTML eklerini engellemeleri, güvenilmeyen veya süresi dolmuş sertifikalara sahip HTTPS web sitelerine erişimini engellemeleri ve yüksek riskli, ayrıcalıklı hesaplar için FIDO2 donanım güvenlik anahtarlarını kurmaları önerilir.
ECLECTICIQ ayrıca, kimlik avı URL'lerine yol açan QR kodları içeren kötü niyetli PDF dosyalarını tespit etmeye yardımcı olmak için raporunda YARA kurallarını paylaştı.
Yeni V3b Kimlik Avı Kiti 54 Avrupa bankasının müşterilerini hedefliyor
Yeni Kimlik Yardım Toolkit, giriş bilgilerini çalmak için PWAS kullanıyor
Warmcookie Windows Backdoor sahte iş teklifleri aracılığıyla itildi
Gitloker, Kötü niyetli OAuth uygulamalarını zorlamak için Github Bildirimleri Kötüye Kullanım Saldırılar
Ücretsiz Piyano Phish Amerikan Üniversite Öğrencileri, Personel Hedefleri
Kaynak: Bleeping Computer