▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Microsoft smantella l’infrastruttura PhaaS ONNX

Era attiva dal 2017 e si serviva di 240 domini per condurre attacchi su vasta scala. Ecco l’identikit della piattaforma di Phishing-as-a-Service ONNX e i passaggi che hanno permesso di fermarne l’attività.

Tecnologie/Scenari

Microsoft, in collaborazione con la Linux Foundation e con il supporto delle Autorità Giudiziarie statunitensi, ha neutralizzato una delle principali piattaforme di Phishing-as-a-Service, conosciuta con i nomi ONNX, oppure Caffeine o FUHRER. L'operazione ha portato alla chiusura di 240 domini utilizzati per condurre attacchi su vasta scala a livello globale.

L’azione in oggetto, formalizzata tramite un'ordinanza del tribunale distrettuale della Virginia, interrompe di fatto le attività di una rete attiva dal 2017, che aveva permesso ai cybercriminali di compromettere aziende e utenti di servizi tecnologici di primo piano, tra cui Microsoft 365, Google e Dropbox.

Una minaccia sofisticata

ONNX si è affermata come una delle principali piattaforme PhaaS durante la prima metà del 2024. Dalla sua infrastruttura partivano mensilmente decine di milioni di email fraudolente a obiettivi in tutto il mondo. La piattaforma, basata su un modello di abbonamento, offriva strumenti “chiavi in mano” per eseguire campagne di phishing con costi variabili da 150 a 550 dollari al mese. I servizi includevano kit preconfigurati per gli attacchi, meccanismi avanzati per il bypass dell’autenticazione a due fattori (2FA) e un’infrastruttura resistente a blocchi o rimozioni rapide, grazie a servizi di hosting a prova di manomissione.


Tra i metodi utilizzati dagli affiliati, uno dei più efficaci è stato il cosiddetto quashing, ossia il phishing tramite QR code. In altri termini, le email di phishing contenevano documenti PDF con codici QR malevoli che indirizzavano le vittime verso pagine di accesso fasulle, progettate per assomigliare a portali legittimi come quelli di Microsoft 365. La caratteristica distintiva di questi attacchi era la capacità di sfruttare dispositivi personali nell’ambito di programmi aziendali di tipo BYOD, complicando notevolmente il rilevamento da parte dei sistemi di sicurezza tradizionali.

L'infrastruttura tecnica di ONNX era progettata per garantire efficacia e persistenza degli attacchi. Tra le principali caratteristiche si evidenzia l’uso di codice JavaScript criptato, che veniva decifrato dinamicamente durante il caricamento delle pagine di phishing così da eludere efficacemente la detection. Inoltre venivano impiegati hosting a prova di censura per consentire ai threat actor di ritardare la chiusura dei domini compromessi, aumentando il tempo a disposizione per le campagne fraudolente.

La piattaforma integrava inoltre bot Telegram sia per il controllo delle campagne sia per gestire le interazioni in tempo reale con i target. Un elemento particolarmente pericoloso era la capacità di intercettare i codici 2FA, anche nel caso di account protetti con meccanismi di autenticazione avanzati.

La svolta investigativa

L’operazione ONNX ha subìto un colpo decisivo quando un ricercatore di sicurezza ha identificato e reso pubblica l'identità del presunto responsabile della piattaforma, così da permettere a Microsoft e alle autorità di avviare un’azione legale finalizzata al sequestro dei domini utilizzati per le campagne di phishing.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Previsioni per la cybersecurity del 2025

Speciale

Digitalizzazione e cybersecurity

Reportage

Cybertech Europe 2024

Speciale

Identity security

Speciale

Infosecurity Europe 2024

Calendario Tutto

Gen 21
Palo Alto Networks Partner Xchange Milano
Gen 23
Nutanix Cloud Day Roadshow - Bari
Giu 05
MSP Day 2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter