La Unidad de Delitos Digitales (DCU) de Microsoft ha eliminado 240 sitios web fraudulentos utilizados en la operación egipcia de phishing como servicio ONNX.
Abanoub Nady, también conocido en línea como “MRxC0DER”, creó y vendió kits de phishing “hágalo usted mismo” bajo la identidad falsa de “ONNX”.
Estos kits fueron adquiridos por numerosos ciberdelincuentes y actores de amenazas en línea y utilizados en campañas de phishing a gran escala para eludir las medidas de seguridad y obtener acceso a cuentas de usuario de Microsoft.
La industria de servicios financieros es un objetivo activo porque maneja datos y transacciones confidenciales. En algunos casos, las víctimas de phishing exitoso pueden sufrir consecuencias nefastas en el mundo real.
Como resultado, se pueden perder grandes sumas de dinero, incluidos los ahorros de toda una vida, y una vez robadas, puede ser muy difícil recuperarlas.
Aprovechamiento de los resultados de MITRE ATT&CK de 2024 para líderes en ciberseguridad de pymes y MSP: únase al seminario web gratuito
Descripción general de las operaciones ONNX no autorizadas
En 2017, Microsoft estaba monitoreando la actividad relacionada con las actividades de Abanoub Nadi. Además de hacer un mal uso de la marca ONNX, Nady también opera bajo los nombres “Caffeine” y, más recientemente, “FUHRER”, como atestiguó la DCU.
Los kits de phishing se crean específicamente para ataques de phishing organizados y están diseñados para enviar correos electrónicos masivos.
Un ejemplo de modelo de suscripción es ONNX, una organización fraudulenta que vende suscripciones Básica, Profesional y Empresarial para distintos niveles de acceso y asistencia.
La opción complementaria “Soporte VIP ilimitado”, que proporciona instrucciones detalladas sobre cómo utilizar kits de phishing para delitos cibernéticos, es efectivamente soporte técnico continuo y también está disponible para usuarios empresariales.
Modelo de suscripción al kit de phishing
Después de comprar el kit, los ciberdelincuentes pueden utilizar las plantillas proporcionadas y las funciones falsas de la tecnología ONNX para realizar sus propios ataques de phishing.
Al conectarse a la infraestructura tecnológica maliciosa de ONNX utilizando dominios comprados en otros lugares, pueden escalar y expandir sus operaciones de phishing.
Según el Informe de defensa digital de Microsoft de este año, ONNX Manipulation fue uno de los cinco principales proveedores de kits de phishing por volumen de correo electrónico en la primera mitad de 2024.
Estos son parte de la industria más amplia del “Phishing-as-a-Service” (PhaaS). Abanoub Nadi y sus asociados utilizaron “Tiendas ONNX” falsas y otras tiendas de marca para comercializar y vender productos ilegales, de forma muy parecida a como lo hacen las empresas de comercio electrónico.
Ejemplos de correos electrónicos de phishing maliciosos de ONNX
DCU ataca este conocido servicio e interrumpe la cadena de suministro de delitos cibernéticos ilícitos, protegiendo a los consumidores de una variedad de amenazas posteriores, como fraude financiero, robo de datos y ransomware.
Según el Informe de Defensa Digital de Microsoft de este año, la compañía ha visto un aumento del 146% sólo en estas amenazas AiTM.
FINRA, una organización autorreguladora sin fines de lucro que regula a los corredores de bolsa en los Estados Unidos, emitió recientemente una alerta cibernética pública, advirtiendo a sus miembros sobre un aumento en los ataques AiTM impulsados por esquemas fraudulentos de ONNX.
En esta alerta, FINRA describió nuevas técnicas que los piratas informáticos están utilizando para eludir las protecciones de ciberseguridad, como el phishing y el beso con códigos QR.
Cuando un usuario escanea un código QR incrustado, 'Quishing' lo explota para redirigirlo a un dominio falsificado maliciosamente, normalmente una página de inicio de sesión falsa que solicita credenciales.
Los analistas de Microsoft notaron un fuerte aumento en los intentos de phishing utilizando códigos QR a partir de septiembre de 2023 (casi una cuarta parte de todo el phishing por correo electrónico).
“Nuestro objetivo en todos los casos es proteger a nuestros clientes al aislar a los malos actores de la infraestructura que necesitan para operar y disuadir futuras actividades de ciberdelito aumentando significativamente las barreras de entrada y el costo de hacer negocios. ”División Penal.
“Nos acompaña el co-demandante LF (Linux Foundation) Projects, LLC, que es el propietario real de la marca registrada del nombre y logotipo “ONNX”. “
Tomará medidas proactivas para proteger a los usuarios de Internet en todo el mundo, en lugar de quedarse de brazos cruzados mientras los malos actores utilizan ilegalmente nuestro nombre y marcas comerciales para legitimar sus ataques. Añadió que está cooperando con el gobierno.
A medida que los ciberdelincuentes continúan desarrollando sus tácticas, las empresas y los individuos deben mantenerse informados y vigilantes.
Por lo tanto, al comprender las estrategias utilizadas por los piratas informáticos y tomar medidas de seguridad sólidas, todos podemos trabajar juntos para crear un entorno en línea más seguro.
¿Es miembro del equipo SOC/DFIR? Analice el malware y el phishing con ANY.RUN -> Pruébelo gratis.
