Theo Báo cáo Phòng thủ Kỹ thuật số năm 2024 của Microsoft, ONNX (còn được gọi là Caffeine hay FUHRER) là dịch vụ lừa đảo dạng Adversary-in-the-Middle (AitM) hàng đầu xét theo số lượng các tin nhắn lừa đảo trong nửa đầu năm 2024. Hàng chục đến hàng trăm triệu email lừa đảo nhắm vào các tài khoản Microsoft 365 mỗi tháng và khách hàng của nhiều công ty công nghệ khác.

Microsoft chia sẻ: "Hoạt động lừa đảo ONNX cung cấp các bộ công cụ lừa đảo được thiết kế để nhắm vào nhiều công ty trong lĩnh vực công nghệ, bao gồm Google, DropBox, Rackspace và Microsoft".

ONNX đã quảng bá và bán bộ công cụ lừa đảo trên Telegram bằng nhiều mô hình đăng ký (Cơ bản, Chuyên nghiệp và Doanh nghiệp), với mức giá từ 150 đến 550 USD/tháng.

Các cuộc tấn công, cũng được điều khiển thông qua bot Telegram, đi kèm với cơ chế bỏ qua xác thực hai yếu tố (2FA) tích hợp sẵn và gần đây nhất là nhắm vào nhân viên các công ty tài chính, ngân hàng bằng cách sử dụng chiến thuật lừa đảo qua mã QR.

Những email này bao gồm tệp đính kèm PDF chứa mã QR độc hại chuyển hướng nạn nhân tiềm năng đến các trang giống với trang đăng nhập Microsoft 365 hợp pháp và yêu cầu họ nhập thông tin đăng nhập.

Cơ quan quản lý ngành chứng khoán Mỹ FINRA cho biết: Những tác nhân đe dọa lợi dụng các cuộc tấn công như vậy vì nạn nhân thường sẽ quét mã QR trên thiết bị di động cá nhân của họ. Do đó, các cuộc tấn công này cực kỳ khó theo dõi bằng cách phát hiện điểm cuối thông thường.

Mẫu email lừa đảo mã QR ONNX

Tội phạm mạng sử dụng ONNX đặc biệt hiệu quả trong việc thực hiện các cuộc tấn công của chúng, vì bộ công cụ lừa đảo giúp bỏ qua xác thực hai yếu tố (2FA) bằng cách chặn các yêu cầu 2FA. Chúng cũng sử dụng các dịch vụ lưu trữ làm chậm việc gỡ bỏ các tên miền lừa đảo, mã JavaScript được mã hóa tự giải mã trong khi tải trang và thêm một lớp che giấu để tránh bị phát hiện bởi các trình quét chống lừa đảo.

Steven Masada, Trợ lý Tổng cố vấn tại Đơn vị tội phạm kỹ thuật số của Microsoft, cho biết: "Những cuộc tấn công này đặt ra thách thức đặc biệt cho các nhà nghiên cứu an ninh mạng vì chúng xuất hiện dưới dạng hình ảnh không thể đọc được đối với các tính năng quét và bảo mật".

Hoạt động của ONNX đột ngột dừng lại vào tháng 6 sau khi các nhà nghiên cứu bảo mật của Dark Atlas phát hiện và tiết lộ danh tính chủ sở hữu của nó là Abanoub Nady (tên trực tuyến là MRxC0DER).

Masada cho biết thêm: "Thông qua lệnh của tòa án dân sự được công bố tại Quận phía Đông của Virginia, sẽ chuyển hướng cơ sở hạ tầng kỹ thuật độc hại sang quyền quản lý của Microsoft, làm cắt đứt quyền truy cập của các tác nhân đe dọa, bao gồm hoạt động ONNX gian lận và khách hàng là tội phạm mạng của hoạt động này, đồng thời ngăn chặn vĩnh viễn việc sử dụng các tên miền này trong các cuộc tấn công lừa đảo trong tương lai. Mục tiêu của chúng tôi trong mọi trường hợp là bảo vệ khách hàng bằng cách ngăn chặn những kẻ xấu sử dụng các cơ sở hạ tầng cần thiết để hoạt động và ngăn chặn hành vi tội phạm mạng trong tương lai".