Microsoft, con il supporto della Linux Foundation e delle autorità statunitensi, ha smantellato ONNX, una delle principali infrastrutture di Phishing-as-a-Service (PhaaS). Conosciuta anche come Caffeine o FUHRER, la piattaforma era un punto di riferimento per campagne globali di phishing. L’operazione, formalizzata attraverso un’ordinanza del tribunale distrettuale della Virginia, ha portato alla chiusura di 240 domini malevoli.
ONNX, attiva dal 2017, aveva guadagnato notorietà nella prima metà del 2024, offrendo strumenti sofisticati per attacchi di phishing a pagamento. I cybercriminali potevano abbonarsi a piani mensili che variavano tra 150 e 550 dollari, ricevendo kit preconfigurati, sistemi per bypassare l’autenticazione a due fattori (2FA) e hosting resistente ai blocchi. Si stima che dalla piattaforma partissero ogni mese decine di milioni di email fraudolente mirate a colpire aziende e utenti di servizi come Microsoft 365, Google e Dropbox.
Una delle tecniche più innovative adottate da ONNX era il “quashing”, un phishing che utilizza QR code malevoli inseriti in documenti PDF. Questo sistema ingannava le vittime, indirizzandole verso falsi portali di accesso simili a quelli autentici. L’approccio si dimostrava particolarmente insidioso nei contesti aziendali, sfruttando dispositivi personali integrati nei programmi BYOD (Bring Your Own Device), complicando il lavoro dei sistemi di sicurezza.
L’infrastruttura tecnica di ONNX includeva meccanismi per garantire l’efficacia e la persistenza degli attacchi. Tra questi, l’uso di JavaScript criptato per eludere i sistemi di rilevamento e hosting a prova di censura per rallentare la chiusura dei domini compromessi. Inoltre, integrava bot Telegram sia per il controllo delle campagne sia per gestire le interazioni in tempo reale con le vittime. Un elemento particolarmente pericoloso era la capacità di intercettare i codici 2FA, persino con account dotati di sistemi di autenticazione avanzati.
Il colpo di grazia a ONNX è arrivato grazie all’opera di un ricercatore di sicurezza, che ha identificato e reso pubblica l’identità del presunto responsabile della piattaforma. Questo ha permesso a Microsoft e alle autorità di intervenire tempestivamente, bloccando le operazioni della rete e sequestrando i domini utilizzati per le attività illecite.
https://blogs.microsoft.com/on-the-issues/2024/11/21/targeting-the-cybercrime-supply-chain/
https://www.securityopenlab.it/news/4315/microsoft-smantella-linfrastruttura-phaas-onnx.html