Une nouvelle plate-forme de phishing en tant que service (Paas) appelée ONYX Store cible les comptes Microsoft 365 pour les employés des sociétés financières utilisant des codes QR dans les pièces jointes PDF.

La plate-forme peut cibler à la fois les comptes de messagerie Microsoft 365 et Office 365 et fonctionne via des robots Telegram et dispose de mécanismes de contournement de l’authentification à deux facteurs (2FA).

Les chercheurs d’EclecticIQ qui ont découvert l’activité pensent qu’ONYX est une version rebaptisée du kit de phishing à la caféine géré par l’acteur de la menace arabophone MRxC0DER.

Mandiant a découvert la caféine en octobre 2022, lorsque la plateforme ciblait les plateformes russes et chinoises plutôt que les services occidentaux.

Annonce de changement de marque

ONNX  attaques
EclecticIQ a observé les attaques NX en février 2024, distribuant des courriels de phishing avec des pièces jointes PDF contenant des codes QR malveillants qui ciblaient les employés des banques, des fournisseurs de services de coopératives de crédit et des sociétés de financement privées.

Les courriels usurpent l’identité des départements des ressources humaines (RH), utilisant les mises à jour salariales comme leurres pour ouvrir les PDF, qui ont pour thème Adobe ou Microsoft.

Pièce jointe PDF malveillante

L’analyse du code QR sur un appareil mobile contourne les protections contre l’hameçonnage des organisations ciblées, amenant les victimes vers des pages d’hameçonnage qui imitent l’interface de connexion Microsoft 365 légitime.

La page d’hameçonnage Microsoft 365

La victime est invitée à saisir ses identifiants de connexion et son jeton 2FA sur la fausse page de connexion, et le site de phishing capture ces détails en temps réel.

Les informations d’identification volées et le jeton 2FA sont immédiatement transmis aux attaquants via des WebSockets, leur permettant de détourner le compte de la cible avant l’expiration de l’authentification et du jeton validé par MFA.

Le mécanisme de contournement 2FA

À partir de là, les attaquants peuvent accéder au compte de messagerie compromis pour exfiltrer des informations sensibles telles que des e-mails et des documents ou vendre les informations d’identification sur le Dark Web pour des attaques de logiciels malveillants et de ransomwares.

Plateforme de phishing robuste
Du point de vue des cybercriminels utilisant le service, ONx est une plate-forme convaincante et rentable.

Le centre des opérations se trouve sur Telegram, où les robots permettent aux clients de gérer leurs opérations de phishing via une interface intuitive. De plus, il existe des canaux d’assistance dédiés pour aider les utilisateurs à résoudre tous les problèmes.

Les modèles de phishing Microsoft Office 365 sont personnalisables et des services de messagerie Web sont disponibles pour envoyer des e-mails de phishing aux cibles.

Le kit d’hameçonnage ONx utilise également du code JavaScript crypté qui se décrypte pendant le chargement de la page, ajoutant une couche d’obscurcissement pour échapper à la détection par les outils et scanners anti-hameçonnage.

De plus, ONx utilise les services Cloudflare pour empêcher la suppression de ses domaines, y compris un CAPTCHA anti-bot et un proxy IP.

Il existe également un service d’hébergement à toute épreuve pour garantir que les opérations ne sont pas interrompues par des rapports et des suppressions, ainsi que des services de protocole de bureau à distance (RDP) pour gérer les campagnes en toute sécurité.

Offre d’hébergement pare-balles

SUR NX propose quatre niveaux d’abonnement résumés comme suit:

  • Webmail Normal (150/ / mois): Offre des éléments de texte personnalisables, une boucle de mot de passe, l’intégration de l’identifiant Telegram, des liens de redirection personnalisés et la récupération automatique des logos de domaine personnalisés.
  • Office Normal (200/ / mois): Comprend une véritable connexion, des mots de passe à usage unique, le blocage du pays, des titres de page personnalisés, des boucles de mots de passe, l’intégration de Telegram et des logos personnalisés.
  • Redirection Office (200/ / mois): Fournit des liens génériques, des liens de boîte de réception entièrement indétectables, des titres de page personnalisés, des codes dynamiques et une fonctionnalité de saisie automatique des e-mails pour les redirections 2FA.
  • Office 2FA Cookie Stealer (400/ / mois): Capture les cookies 2FA, prend en charge le 2FA hors ligne et inclut des titres de page personnalisés, l’intégration de Telegram, des codes dynamiques et des statistiques de liens.
Caractéristiques des niveaux en détail

Dans l’ensemble, ONx Store est une menace dangereuse pour les titulaires de comptes Microsoft 365, en particulier pour les entreprises actives dans les secteurs plus larges des services financiers.

Pour se protéger contre ses attaques de phishing sophistiquées, il est recommandé aux administrateurs de bloquer les pièces jointes PDF et HTML provenant de sources non vérifiées, de bloquer l’accès aux sites Web HTTPS avec des certificats non approuvés ou expirés et de configurer des clés de sécurité matérielles FIDO2 pour les comptes privilégiés à haut risque.

EclecticIQ a également partagé les règles YARA dans son rapport pour aider à détecter les fichiers PDF malveillants contenant des codes QR conduisant à des URL de phishing.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *