Theo Báo cáo Phòng thủ Kỹ thuật số năm 2024 của Microsoft, ONNX (còn được gọi là Caffeine hay FUHRER) là dịch vụ lừa đảo dạng Adversary-in-the-Middle (AitM) hàng đầu xét theo số lượng các tin nhắn lừa đảo trong nửa đầu năm 2024. Hàng chục đến hàng trăm triệu email lừa đảo nhắm vào các tài khoản Microsoft 365 mỗi tháng và khách hàng của nhiều công ty công nghệ khác.
Microsoft chia sẻ: "Hoạt động lừa đảo ONNX cung cấp các bộ công cụ lừa đảo được thiết kế để nhắm vào nhiều công ty trong lĩnh vực công nghệ, bao gồm Google, DropBox, Rackspace và Microsoft".
ONNX đã quảng bá và bán bộ công cụ lừa đảo trên Telegram bằng nhiều mô hình đăng ký (Cơ bản, Chuyên nghiệp và Doanh nghiệp), với mức giá từ 150 đến 550 USD/tháng.
Các cuộc tấn công, cũng được điều khiển thông qua bot Telegram, đi kèm với cơ chế bỏ qua xác thực hai yếu tố (2FA) tích hợp sẵn và gần đây nhất là nhắm vào nhân viên các công ty tài chính, ngân hàng bằng cách sử dụng chiến thuật lừa đảo qua mã QR.
Những email này bao gồm tệp đính kèm PDF chứa mã QR độc hại chuyển hướng nạn nhân tiềm năng đến các trang giống với trang đăng nhập Microsoft 365 hợp pháp và yêu cầu họ nhập thông tin đăng nhập.
Cơ quan quản lý ngành chứng khoán Mỹ FINRA cho biết: Những tác nhân đe dọa lợi dụng các cuộc tấn công như vậy vì nạn nhân thường sẽ quét mã QR trên thiết bị di động cá nhân của họ. Do đó, các cuộc tấn công này cực kỳ khó theo dõi bằng cách phát hiện điểm cuối thông thường.
Mẫu email lừa đảo mã QR ONNX
Tội phạm mạng sử dụng ONNX đặc biệt hiệu quả trong việc thực hiện các cuộc tấn công của chúng, vì bộ công cụ lừa đảo giúp bỏ qua xác thực hai yếu tố (2FA) bằng cách chặn các yêu cầu 2FA. Chúng cũng sử dụng các dịch vụ lưu trữ làm chậm việc gỡ bỏ các tên miền lừa đảo, mã JavaScript được mã hóa tự giải mã trong khi tải trang và thêm một lớp che giấu để tránh bị phát hiện bởi các trình quét chống lừa đảo.
Steven Masada, Trợ lý Tổng cố vấn tại Đơn vị tội phạm kỹ thuật số của Microsoft, cho biết: "Những cuộc tấn công này đặt ra thách thức đặc biệt cho các nhà nghiên cứu an ninh mạng vì chúng xuất hiện dưới dạng hình ảnh không thể đọc được đối với các tính năng quét và bảo mật".
Hoạt động của ONNX đột ngột dừng lại vào tháng 6 sau khi các nhà nghiên cứu bảo mật của Dark Atlas phát hiện và tiết lộ danh tính chủ sở hữu của nó là Abanoub Nady (tên trực tuyến là MRxC0DER).
Masada cho biết thêm: "Thông qua lệnh của tòa án dân sự được công bố tại Quận phía Đông của Virginia, sẽ chuyển hướng cơ sở hạ tầng kỹ thuật độc hại sang quyền quản lý của Microsoft, làm cắt đứt quyền truy cập của các tác nhân đe dọa, bao gồm hoạt động ONNX gian lận và khách hàng là tội phạm mạng của hoạt động này, đồng thời ngăn chặn vĩnh viễn việc sử dụng các tên miền này trong các cuộc tấn công lừa đảo trong tương lai. Mục tiêu của chúng tôi trong mọi trường hợp là bảo vệ khách hàng bằng cách ngăn chặn những kẻ xấu sử dụng các cơ sở hạ tầng cần thiết để hoạt động và ngăn chặn hành vi tội phạm mạng trong tương lai".
Đức Lương
18:00 | 11/10/2024
16:00 | 03/06/2024
10:00 | 08/05/2024
09:00 | 13/12/2024
Các nhà nghiên cứu an ninh mạng đang cảnh báo về các chiến dịch tấn công email độc hại lợi dụng bộ công cụ lừa đảo dưới dạng dịch vụ (PhaaS) có tên là Rockstar 2FA, nhằm mục đích đánh cắp thông tin đăng nhập tài khoản Microsoft 365.
10:00 | 21/11/2024
Tòa án liên bang Mỹ tại quận phía Bắc California đã bác vụ kiện cáo buộc Google thu lợi bất chính từ các vụ lừa đảo thẻ quà tặng Google Play.
09:00 | 29/10/2024
Công ty nghiên cứu bảo mật ESET mới đây đã đưa ra cảnh báo về việc tin tặc tấn công một đối tác của họ tại Israel để mạo danh thương hiệu này nhằm phát tán mã độc.
18:00 | 11/10/2024
Trong một chiến dịch tấn công mạng quy mô lớn, Microsoft đã phối hợp với Bộ Tư pháp Hoa Kỳ (DoJ) triệt phá thành công mạng lưới 107 tên miền Internet được tin tặc Nga sử dụng để thực hiện các hoạt động lừa đảo và tấn công mạng.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025