Theo Báo cáo Phòng thủ Kỹ thuật số năm 2024 của Microsoft, ONNX (còn được gọi là Caffeine hay FUHRER) là dịch vụ lừa đảo dạng Adversary-in-the-Middle (AitM) hàng đầu xét theo số lượng các tin nhắn lừa đảo trong nửa đầu năm 2024. Hàng chục đến hàng trăm triệu email lừa đảo nhắm vào các tài khoản Microsoft 365 mỗi tháng và khách hàng của nhiều công ty công nghệ khác.
Microsoft chia sẻ: "Hoạt động lừa đảo ONNX cung cấp các bộ công cụ lừa đảo được thiết kế để nhắm vào nhiều công ty trong lĩnh vực công nghệ, bao gồm Google, DropBox, Rackspace và Microsoft".
ONNX đã quảng bá và bán bộ công cụ lừa đảo trên Telegram bằng nhiều mô hình đăng ký (Cơ bản, Chuyên nghiệp và Doanh nghiệp), với mức giá từ 150 đến 550 USD/tháng.
Các cuộc tấn công, cũng được điều khiển thông qua bot Telegram, đi kèm với cơ chế bỏ qua xác thực hai yếu tố (2FA) tích hợp sẵn và gần đây nhất là nhắm vào nhân viên các công ty tài chính, ngân hàng bằng cách sử dụng chiến thuật lừa đảo qua mã QR.
Những email này bao gồm tệp đính kèm PDF chứa mã QR độc hại chuyển hướng nạn nhân tiềm năng đến các trang giống với trang đăng nhập Microsoft 365 hợp pháp và yêu cầu họ nhập thông tin đăng nhập.
Cơ quan quản lý ngành chứng khoán Mỹ FINRA cho biết: Những tác nhân đe dọa lợi dụng các cuộc tấn công như vậy vì nạn nhân thường sẽ quét mã QR trên thiết bị di động cá nhân của họ. Do đó, các cuộc tấn công này cực kỳ khó theo dõi bằng cách phát hiện điểm cuối thông thường.
Mẫu email lừa đảo mã QR ONNX
Tội phạm mạng sử dụng ONNX đặc biệt hiệu quả trong việc thực hiện các cuộc tấn công của chúng, vì bộ công cụ lừa đảo giúp bỏ qua xác thực hai yếu tố (2FA) bằng cách chặn các yêu cầu 2FA. Chúng cũng sử dụng các dịch vụ lưu trữ làm chậm việc gỡ bỏ các tên miền lừa đảo, mã JavaScript được mã hóa tự giải mã trong khi tải trang và thêm một lớp che giấu để tránh bị phát hiện bởi các trình quét chống lừa đảo.
Steven Masada, Trợ lý Tổng cố vấn tại Đơn vị tội phạm kỹ thuật số của Microsoft, cho biết: "Những cuộc tấn công này đặt ra thách thức đặc biệt cho các nhà nghiên cứu an ninh mạng vì chúng xuất hiện dưới dạng hình ảnh không thể đọc được đối với các tính năng quét và bảo mật".
Hoạt động của ONNX đột ngột dừng lại vào tháng 6 sau khi các nhà nghiên cứu bảo mật của Dark Atlas phát hiện và tiết lộ danh tính chủ sở hữu của nó là Abanoub Nady (tên trực tuyến là MRxC0DER).
Masada cho biết thêm: "Thông qua lệnh của tòa án dân sự được công bố tại Quận phía Đông của Virginia, sẽ chuyển hướng cơ sở hạ tầng kỹ thuật độc hại sang quyền quản lý của Microsoft, làm cắt đứt quyền truy cập của các tác nhân đe dọa, bao gồm hoạt động ONNX gian lận và khách hàng là tội phạm mạng của hoạt động này, đồng thời ngăn chặn vĩnh viễn việc sử dụng các tên miền này trong các cuộc tấn công lừa đảo trong tương lai. Mục tiêu của chúng tôi trong mọi trường hợp là bảo vệ khách hàng bằng cách ngăn chặn những kẻ xấu sử dụng các cơ sở hạ tầng cần thiết để hoạt động và ngăn chặn hành vi tội phạm mạng trong tương lai".
Thanh Bình
18:00 | 11/10/2024
16:00 | 03/06/2024
10:00 | 08/05/2024
11:00 | 05/12/2024
Hãng viễn thông Hoa Kỳ T-Mobile đã xác nhận rằng công ty cũng nằm trong số các công ty bị các tác nhân đe dọa từ Trung Quốc nhắm tới để truy cập vào thông tin có giá trị.
10:00 | 30/10/2024
Vụ việc hàng nghìn máy nhắn tin và các thiết bị liên lạc khác phát nổ ở Liban hồi tháng 9 đã gióng lên hồi chuông cảnh báo về phương thức tấn công chuỗi cung ứng mới vô cùng nguy hiểm, đánh dấu sự leo thang mới trong việc sử dụng chuỗi cung ứng chống lại các đối thủ. Điều này đã đặt ra yêu cầu cấp bách cho các nhà lãnh đạo toàn cầu về việc giảm phụ thuộc vào công nghệ từ các đối thủ.
09:00 | 08/10/2024
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
14:00 | 22/08/2024
Các máy chủ của Microchip Technology, nhà cung ứng chip quan trọng cho ngành công nghiệp quốc phòng Mỹ đã bị tấn công, buộc công ty này phải tạm ngừng một số hệ thống và giảm quy mô hoạt động.
Ngày 2/12 vừa qua, Cisco đã đưa ra cảnh báo khách hàng về việc khai thác tích cực lỗ hổng bảo mật đã tồn tại hàng thập kỷ đang ảnh hưởng đến thiết bị bảo mật thích ứng (ASA) của hãng.
10:00 | 09/12/2024