Theo Báo cáo Phòng thủ Kỹ thuật số năm 2024 của Microsoft, ONNX (còn được gọi là Caffeine hay FUHRER) là dịch vụ lừa đảo dạng Adversary-in-the-Middle (AitM) hàng đầu xét theo số lượng các tin nhắn lừa đảo trong nửa đầu năm 2024. Hàng chục đến hàng trăm triệu email lừa đảo nhắm vào các tài khoản Microsoft 365 mỗi tháng và khách hàng của nhiều công ty công nghệ khác.
Microsoft chia sẻ: "Hoạt động lừa đảo ONNX cung cấp các bộ công cụ lừa đảo được thiết kế để nhắm vào nhiều công ty trong lĩnh vực công nghệ, bao gồm Google, DropBox, Rackspace và Microsoft".
ONNX đã quảng bá và bán bộ công cụ lừa đảo trên Telegram bằng nhiều mô hình đăng ký (Cơ bản, Chuyên nghiệp và Doanh nghiệp), với mức giá từ 150 đến 550 USD/tháng.
Các cuộc tấn công, cũng được điều khiển thông qua bot Telegram, đi kèm với cơ chế bỏ qua xác thực hai yếu tố (2FA) tích hợp sẵn và gần đây nhất là nhắm vào nhân viên các công ty tài chính, ngân hàng bằng cách sử dụng chiến thuật lừa đảo qua mã QR.
Những email này bao gồm tệp đính kèm PDF chứa mã QR độc hại chuyển hướng nạn nhân tiềm năng đến các trang giống với trang đăng nhập Microsoft 365 hợp pháp và yêu cầu họ nhập thông tin đăng nhập.
Cơ quan quản lý ngành chứng khoán Mỹ FINRA cho biết: Những tác nhân đe dọa lợi dụng các cuộc tấn công như vậy vì nạn nhân thường sẽ quét mã QR trên thiết bị di động cá nhân của họ. Do đó, các cuộc tấn công này cực kỳ khó theo dõi bằng cách phát hiện điểm cuối thông thường.
Mẫu email lừa đảo mã QR ONNX
Tội phạm mạng sử dụng ONNX đặc biệt hiệu quả trong việc thực hiện các cuộc tấn công của chúng, vì bộ công cụ lừa đảo giúp bỏ qua xác thực hai yếu tố (2FA) bằng cách chặn các yêu cầu 2FA. Chúng cũng sử dụng các dịch vụ lưu trữ làm chậm việc gỡ bỏ các tên miền lừa đảo, mã JavaScript được mã hóa tự giải mã trong khi tải trang và thêm một lớp che giấu để tránh bị phát hiện bởi các trình quét chống lừa đảo.
Steven Masada, Trợ lý Tổng cố vấn tại Đơn vị tội phạm kỹ thuật số của Microsoft, cho biết: "Những cuộc tấn công này đặt ra thách thức đặc biệt cho các nhà nghiên cứu an ninh mạng vì chúng xuất hiện dưới dạng hình ảnh không thể đọc được đối với các tính năng quét và bảo mật".
Hoạt động của ONNX đột ngột dừng lại vào tháng 6 sau khi các nhà nghiên cứu bảo mật của Dark Atlas phát hiện và tiết lộ danh tính chủ sở hữu của nó là Abanoub Nady (tên trực tuyến là MRxC0DER).
Masada cho biết thêm: "Thông qua lệnh của tòa án dân sự được công bố tại Quận phía Đông của Virginia, sẽ chuyển hướng cơ sở hạ tầng kỹ thuật độc hại sang quyền quản lý của Microsoft, làm cắt đứt quyền truy cập của các tác nhân đe dọa, bao gồm hoạt động ONNX gian lận và khách hàng là tội phạm mạng của hoạt động này, đồng thời ngăn chặn vĩnh viễn việc sử dụng các tên miền này trong các cuộc tấn công lừa đảo trong tương lai. Mục tiêu của chúng tôi trong mọi trường hợp là bảo vệ khách hàng bằng cách ngăn chặn những kẻ xấu sử dụng các cơ sở hạ tầng cần thiết để hoạt động và ngăn chặn hành vi tội phạm mạng trong tương lai".
Đức Lương
18:00 | 11/10/2024
16:00 | 03/06/2024
10:00 | 08/05/2024
12:00 | 14/01/2025
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
17:00 | 22/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.
15:00 | 12/11/2024
Theo các nhà nghiên cứu bảo mật, một trong những cuộc tấn công chuỗi cung ứng kỹ thuật số lớn nhất trong năm 2024 đã được thực hiện bởi một công ty ít tên tuổi, chuyển hướng một lượng lớn người dùng internet đến một mạng lưới các trang web cờ bạc nhái.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025