Phishing-as-a-Service-Plattform nimmt MS365- und Office365-E-Mail-Konten ins VisierEinfallstor QR-Codes
5. Juli 2024Die Phishing-as-a-Service-Plattform (PhaaS) namens ONNX Store hat es auf Microsoft 365-Konten von Mitarbeitern bei Banken, Finanzdienstleistern und Kreditgesellschaften abgesehen. Dabei kommen QR-Codes in PDF-Anhängen zum Einsatz.
Die Plattform ONNX Store kann sowohl Microsoft 365- als auch Office 365-E-Mail-Konten ins Visier nehmen, wird über Telegram-Bots betrieben und ist in der Lage, Zwei-Faktor-Authentifizierung (2FA) zu umgehen. Nach Ansicht der Forscher von EclecticIQ, könnte ONNX eine umbenannte Version des Caffeine-Phishing-Kits sein, das auf den arabischsprachigen Threat Actor MRxC0DER zurückgeht. Mandiant hatte Caffeine bereits im Oktober 2022 entdeckt, als die Plattform russische und chinesische Plattformen anstelle westlicher Dienste angegriffen hatte.
Bei näherer Betrachtung ähnelt die Art des Angriffs, über die ONNX verbreitet wird, der Quishing-Kampagne. Das ONNX-Phishing-Toolkit wird ganz offensichtlich in ähnlicher Art und Weise bereitgestellt: Die Angreifer erstellen dazu Phishing-E-Mails mit einem PDF-Anhang. Seit Microsoft Makros in Office-Dateien wie Word und Excel standardmäßig blockiert, verwenden Angreifer zunehmend PDF-Dateien, auch die Verbreitung von Malware darüber hat stark zugenommen. Aufgrund der komplexen Struktur von PDF-Dateien, haben Angreifer hier die Möglichkeit, schädliche URLs, Skripte oder verborgene Inhalte einzubetten und so herkömmliche Sicherheitsmaßnahmen erfolgreich zu umgehen.
Die PDFs enthalten QR-Codes, die dazu dienen, die Phishing-URLs zu verschleiern. Angreifer verwenden QR-Codes im Wesentlich aus zwei Gründen:
- Die potenziellen Opfer sind gezwungen, auf weniger sichere Geräte wie Smartphones oder Tablets umzusteigen. So lassen sich Antivirus-Technologien (AV), wie sie üblicherweise auf Desktops installiert sind, umgehen.
- Zudem ist eigentlich schädliche oder Phishing-URL nicht direkt in der Spam-E-Mail enthalten. Eine Technik, die es wiederum erlaubt, E-Mail-Sicherheitsmaßnahmen mit URL-Scannern zu umgehen.
Eine weitere bemerkenswerte Technik, welche die ONNX-Entwickler nutzen, ist der Cloudflare Turnstile Service. Die Angreifer verwenden Cloudflare Turnstile, um zu überprüfen, dass es sich bei einem Besucher um einen echten Menschen und nicht um einen Bot handelt. Cloudflare Turnstile ist ein kostenloser Service, der Websites vor Bots und anderem schädlichen Datenverkehr schützen soll.
Es fungiert als ausgeklügelter CAPTCHA-Ersatz, der sich in jede beliebige Website integrieren lässt, ohne dass der Datenverkehr über Cloudflare geleitet werden muss. Dieser Service ist so flexibel entweder das CAPTCHA vor den Nutzern zu verbergen oder eine herkömmliche Bestätigungsseite anzuzeigen. Durch diese zusätzlichen Ebene werden automatisierte Sicherheits-Tools wie Webcrawler durch das CAPTCHA blockiert. Schädliche Inhalte lassen sich nicht mehr als solche erkennen und Sicherheitsmaßnahmen umgehen. E-Mails, die Links zu diesen Seiten enthalten, können Spam-Filter umgehen und werden als unschädlich eingestuft.
Die Betriebsabläufe und Kontrollmechanismen des ONNX-Shops werden über Telegram-Bots verwaltet. Sie vereinfachen nicht nur die Phishing-Kampagnen als solche, sondern bieten zusätzlich einen Support-Kanal, über den Kunden bei Fragen oder Problemen Hilfe bekommen. Der ONNX-Shop offeriert unterschiedliche Abo-Pakete. Die Preise liegen je nach den vom Kunden gewünschten Funktionen und Fähigkeiten zwischen 150 und 200 Dollar pro Monat. Dieses flexible Preismodell macht den Service für eine Vielzahl von Cyber-Kriminellen zugänglich und trägt zu seiner wachsenden Beliebtheit bei.
Die Webseite des ONNX-Phishing-Toolkits tarnt sich als Vorlage der Microsoft O365-Anmeldeseite und zielt auf die Microsoft-365-Konten der Opfer. Die erfassten vertraulichen Anmeldedaten werden anschließend an den ONNX-Phishing-Server gesendet. Dieser ausgeklügelte Ansatz verdeutlicht einmal mehr, wie sich die Taktiken der Angreifer weiterentwickeln. (rhh)
Eine detaillierte Erläuterung des Angriffsablaufs findet sich hier.