Microsoft a saisi 240 domaines utilisés par les clients d’ONx, une plate-forme de phishing en tant que service (PhaaS), pour cibler des entreprises et des particuliers aux États-Unis et dans le monde entier depuis au moins 2017.
Selon le Rapport de défense numérique 2024 de Microsoft, ONx (également connu sous le nom de Caféine et FUHRER) était le principal service de phishing Adverse in the Middle (AitM) en volume de messages de phishing au cours du premier semestre 2024. Des dizaines à des centaines de millions d’e-mails de phishing ciblaient chaque mois des comptes Microsoft 365 et des clients de diverses autres entreprises technologiques.
« Ces kits » faites-le vous-même « représentent une part importante des dizaines à des centaines de millions de messages de phishing observés par Microsoft chaque mois et l’opération frauduleuse ONx était l’un des 5 principaux fournisseurs au premier semestre 2024 », a déclaré Microsoft à Breachtrace.
« L’opération frauduleuse ONx proposait des kits de phishing conçus pour cibler diverses entreprises du secteur technologique, notamment Google, DropBox, Rackspace et Microsoft. »
ONx a promu et vendu les kits de phishing sur Telegram en utilisant plusieurs modèles d’abonnement( Basic, Professional et Enterprise), allant de 150 monthly à 550 monthly par mois.
Les attaques, également contrôlées via des robots Telegram, comportaient des mécanismes de contournement intégrés d’authentification à deux facteurs (2FA) et, plus récemment, ciblaient les employés des sociétés financières (banques, fournisseurs de services de coopératives de crédit et sociétés de financement privées) à l’aide de phishing par code QR (également connu sous le nom d’annulation) tactiques.
Ces courriels comprenaient des pièces jointes PDF contenant des codes QR malveillants qui redirigeaient les victimes potentielles vers des pages ressemblant à des pages de connexion Microsoft 365 légitimes et leur demandaient de saisir leurs informations d’identification.
« Les acteurs de la menace tirent parti des attaques de quishing car les victimes scannent généralement les codes QR sur leurs appareils mobiles personnels (que la victime peut utiliser à des fins professionnelles, dans le cadre du programme Bring Your Own Device (BYOD) de leur entreprise) », a également averti le régulateur américain du secteur des valeurs mobilières FINRA dans une récente alerte. « Par conséquent, ces attaques sont exceptionnellement difficiles à surveiller avec une détection typique des terminaux. »
Les cybercriminels utilisant ONx ont été particulièrement efficaces dans la réalisation de leurs attaques, car les kits de phishing aident à contourner l’authentification à deux facteurs (2FA) en interceptant les demandes 2FA. Ils utilisent également des services d’hébergement à toute épreuve qui retardent les retraits des domaines de phishing et du code JavaScript crypté qui se décrypte pendant le chargement de la page, ajoutant une couche supplémentaire d’obscurcissement pour échapper à la détection par les scanners anti-phishing.
« Ces attaques présentent un défi unique pour les fournisseurs de cybersécurité car elles apparaissent comme une image illisible des fonctions de sécurité et d’analyse », a déclaré aujourd’hui Steven Masada, avocat général adjoint de l’Unité des crimes numériques de Microsoft.
Les opérations d’ONx ont brusquement cessé en juin après que des chercheurs en sécurité d’Atlas ont découvert et divulgué l’identité de son propriétaire, Abanoub Nady (également connu en ligne sous le nom de MRxC0DER).
« Grâce à une ordonnance d’un tribunal civil descellée aujourd’hui dans le district est de Virginie, cette action redirige l’infrastructure technique malveillante vers Microsoft, coupant l’accès des acteurs de la menace, y compris l’opération frauduleuse ONx et ses clients cybercriminels, et arrêtant définitivement l’utilisation de ces domaines dans les attaques de phishing à l’avenir », a ajouté Masada.
« Dans tous les cas, notre objectif est de protéger les clients en séparant les acteurs malveillants de l’infrastructure nécessaire à leur fonctionnement et de dissuader les futurs comportements cybercriminels en augmentant considérablement les barrières à l’entrée et le coût des affaires. Nous sommes rejoints par le codemandeur LF (Linux Foundation) Projects, LLC, propriétaire de la marque déposée du nom et du logo » ONx » enregistrés. »
Vous pouvez trouver la liste complète des 240 domaines saisis dans l’action dans les annexes de la plainte non scellées.
En octobre, Microsoft et le ministère de la Justice ont également perturbé l’infrastructure d’attaque des pirates informatiques russes Colddriver FSB en saisissant plus de 100 domaines utilisés dans des attaques de harponnage contre des employés du gouvernement américain et des organisations à but non lucratif russes.
En décembre dernier, l’Unité des crimes numériques de l’entreprise a également pris des mesures contre un important fournisseur de cybercriminalité en tant que service (Storm-1152) qui a enregistré plus de 750 millions de comptes de messagerie Microsoft frauduleux et en a récolté des millions en les vendant à d’autres cybercriminels.