Microsoft, in collaborazione con la Linux Foundation e con il supporto delle Autorità Giudiziarie statunitensi, ha neutralizzato una delle principali piattaforme di Phishing-as-a-Service, conosciuta con i nomi ONNX, oppure Caffeine o FUHRER. L'operazione ha portato alla chiusura di 240 domini utilizzati per condurre attacchi su vasta scala a livello globale.

L’azione in oggetto, formalizzata tramite un'ordinanza del tribunale distrettuale della Virginia, interrompe di fatto le attività di una rete attiva dal 2017, che aveva permesso ai cybercriminali di compromettere aziende e utenti di servizi tecnologici di primo piano, tra cui Microsoft 365, Google e Dropbox.

Una minaccia sofisticata

ONNX si è affermata come una delle principali piattaforme PhaaS durante la prima metà del 2024. Dalla sua infrastruttura partivano mensilmente decine di milioni di email fraudolente a obiettivi in tutto il mondo. La piattaforma, basata su un modello di abbonamento, offriva strumenti “chiavi in mano” per eseguire campagne di phishing con costi variabili da 150 a 550 dollari al mese. I servizi includevano kit preconfigurati per gli attacchi, meccanismi avanzati per il bypass dell’autenticazione a due fattori (2FA) e un’infrastruttura resistente a blocchi o rimozioni rapide, grazie a servizi di hosting a prova di manomissione.

Tra i metodi utilizzati dagli affiliati, uno dei più efficaci è stato il cosiddetto quashing, ossia il phishing tramite QR code. In altri termini, le email di phishing contenevano documenti PDF con codici QR malevoli che indirizzavano le vittime verso pagine di accesso fasulle, progettate per assomigliare a portali legittimi come quelli di Microsoft 365. La caratteristica distintiva di questi attacchi era la capacità di sfruttare dispositivi personali nell’ambito di programmi aziendali di tipo BYOD, complicando notevolmente il rilevamento da parte dei sistemi di sicurezza tradizionali.

L'infrastruttura tecnica di ONNX era progettata per garantire efficacia e persistenza degli attacchi. Tra le principali caratteristiche si evidenzia l’uso di codice JavaScript criptato, che veniva decifrato dinamicamente durante il caricamento delle pagine di phishing così da eludere efficacemente la detection. Inoltre venivano impiegati hosting a prova di censura per consentire ai threat actor di ritardare la chiusura dei domini compromessi, aumentando il tempo a disposizione per le campagne fraudolente.

La piattaforma integrava inoltre bot Telegram sia per il controllo delle campagne sia per gestire le interazioni in tempo reale con i target. Un elemento particolarmente pericoloso era la capacità di intercettare i codici 2FA, anche nel caso di account protetti con meccanismi di autenticazione avanzati.

La svolta investigativa

L’operazione ONNX ha subìto un colpo decisivo quando un ricercatore di sicurezza ha identificato e reso pubblica l'identità del presunto responsabile della piattaforma, così da permettere a Microsoft e alle autorità di avviare un’azione legale finalizzata al sequestro dei domini utilizzati per le campagne di phishing.