Аналитики EclecticIQ обнаружили фишинговые кампании, направленные на финансовые учреждения и использующие QR-коды, встроенные в PDF-вложения, чтобы направить жертв на фишинговые URL-адреса.
Атаки осуществлялись с помощью платформы Phishing-as-a-Service (PhaaS) под названием ONNX Store, которая работает через ботов Telegram. ONNX Store включает в себя механизм обхода двухфакторной аутентификации (2FA), который перехватывает запросы 2FA, увеличивая процент успешных атак на бизнес-почту (BEC). Фишинговые страницы имитируют интерфейсы входа в Microsoft 365, обманом заставляя пользователей вводить данные для аутентификации.
Аналитики с большой долей уверенности полагают, что ONNX Store, скорее всего, является ребрендинговой версией фишингового набора Caffeine, обнаруженного Mandiant в 2022 году, на основании схожей инфраструктуры и рекламы в Telegram. Арабоязычный злоумышленник MRxC0DER считается разработчиком и сопровождающим Caffeine и, вероятно, обеспечивает клиентскую поддержку ONNX Store. ONNX Store предлагает различные услуги через ботов Telegram, включая фишинговые шаблоны, услуги веб-почты и пуленепробиваемый хостинг. Он использует Cloudflare для задержки процессов удаления и обхода обнаружения, используя такие функции, как CAPTCHA и IP-проксирование для защиты вредоносных сайтов.
ONNX Store распространяет PDF-документы со встроенными QR-кодами, которые направляют жертв на фишинговые страницы, часто выдавая себя за авторитетные сервисы, такие как Adobe или Microsoft 365. Организациям сложно обнаружить эти QR-коды, особенно на мобильных устройствах. Большинство фишинговых кампаний направлено на финансовые учреждения в регионах EMEA и AMER, включая банки и кредитные союзы. Фишинговый набор использует зашифрованный JavaScript, чтобы избежать обнаружения, и перехватывает токены 2FA в режиме реального времени, передавая их злоумышленникам. ONNX Store также предоставляет пуленепробиваемый хостинг, позволяя киберпреступникам работать без риска отключения. Более широкие последствия использования этих фишинговых наборов включают в себя помощь в краже учетных данных и атаках с использованием выкупного ПО.
Indicators of Compromise
IPv4
- 5.181.156.247
Domains
- 473.kernam.com
- 56789iugtfrd5t69i9ei9die9di9eidy7u889.rhiltons.com
- agchoice.us-hindus.com
- authmicronlineonfication.com
- bsifinancial019.ssllst.cloud
- docusign.multiparteurope.com
- Onnx.su
- stream-verify-login.com
- v744.r9gh2.com
- verify-office-outlook.com
- zaq.gletber.com
SHA256
- 0f5be6f53fe198ca32d82a75339fe832b70d676563ce8b7ca446d1902b926856
- 3d58733b646431a60d39394be99ff083d6db3583796b503e8422baebed8d097e
- 432b1b688e21e43d2ccc68e040b3ecac4734b7d1d4356049f9e1297814627cb3
- 4751234ac4e1b0a5d4685b870de1ea1a7754258977f5d1d9534631c09c748732
- 47b12127c3d1d2af24f6d230e8e86a7b0c661b4e70ba3b77a9beca4998a491ea
- 51fdaa65511e7c3a8d4d08af59d310a2ad8a18093ca8d3c817147d79a89f44a1
- 52e04c615b08af10b4982506c1cee74cb062116d31f0300ed027f6efd3119b1a
- 702008cae9a145741e817e6c6566cd1d79c737d51b718f13a2d16d72a00cd5a7
- 908af49857b6f5d1e0384a5e6fc8ee53ca1df077601843ebdd7fc8a4db8bcb12
- d3b03f79cf1d088d2ed41e25c961e9945533aeabb93eac2d33ebc4b589ba6172
- f99b01620ef174bb48e22e54327ca9cffa4520868f49a41c524b81ab6d935070
