研究人员发现了一种新的网络钓鱼活动,该活动依赖于名为 ONNX Store 的网络钓鱼即服务平台,可通过 Telegram 购买。ONNX Store 似乎是现有网络钓鱼工具包 Caffeine 的改版。这些工具包共享基础设施,并在相同的 Telegram 频道上进行宣传。
钓鱼活动针对金融机构,在 PDF 附件中嵌入二维码。当受害者用手机扫描这些代码时,他们会被重定向到虚假的登录页面,该页面旨在收集登录凭据和双因素身份验证密钥。
ONNX Store 可实现实时凭证盗窃
ONNX Store 提供各种强大的网络钓鱼工具,旨在支持网络犯罪分子,包括自定义网络钓鱼页面、网络邮件服务器、2FA cookie 窃取器,以及使用可信域将受害者引导至网络钓鱼登陆页面的“完全不可检测”的推荐服务。
EclecticIQ的研究人员注意到,使用 ONNX Store 网络钓鱼工具包的威胁行为者倾向于将 PDF 文件作为网络钓鱼电子邮件的附件分发。这些文档冒充信誉良好的服务,其中包含一个二维码,可将受害者引导至恶意网络钓鱼登录页面。这种被称为“quiishing”的策略利用了员工个人移动设备缺乏检测或预防的缺陷,而这些设备通常不受保护。移动设备缺乏保护也使得监控这些威胁变得具有挑战性。
钓鱼登陆页面旨在利用中间人攻击 (AiTM) 方法窃取敏感凭证,这种方法可以实时捕获和传输被盗数据,而无需频繁发出 HTTP 请求。这使得钓鱼操作更加高效,更难被发现。
ONNX Store 网络钓鱼工具包使用加密的 JavaScript 代码,该代码在页面加载时会自行解密,并包含一个基本的反 JavaScript 调试器。这增加了一层针对网络钓鱼扫描器的保护,并使检测变得复杂。解密的 JavaScript 代码随后会收集受害者的网络元数据,包括浏览器名称、IP 地址和位置等详细信息。
解密的 JavaScript 代码旨在窃取受害者输入的 2FA 令牌。这允许攻击者绕过典型的 2FA 保护并在其过期之前未经授权访问受害者的帐户。
研究人员在 ONNX Store 网络钓鱼工具包部署的各种基础设施中发现了域名注册人和 SSL 发行人的相似之处。这些相似之处表明该活动使用了防弹托管服务进行托管。
研究人员认为 ONNX 商店是 Caffeine Kit 的品牌重塑
研究人员评估认为,ONNX Store 网络钓鱼工具包很可能是Caffeine 网络钓鱼工具包的改版。这一评估基于同一 Telegram 频道上的基础设施和广告的大量重叠。这种重叠包括阿拉伯语威胁行为者 MRxC0DER 的参与,他可能是 Caffeine 工具包的开发者和维护者。
该平台的品牌重塑似乎侧重于提高恶意行为者的运营安全性。 ONNX Store 服务使威胁行为者能够通过 Telegram 机器人控制运营,并通过额外的支持渠道来协助客户,而不是单一的 Web 服务器。 基础设施和管理的这种转变使得关闭平台的网络钓鱼域变得更具挑战性。
为了进一步提高其弹性,ONNX Store 使用 Cloudflare 服务来延迟其钓鱼域的删除过程。滥用 Cloudflare 的 CAPTCHA 功能和 IP 代理可帮助攻击者通过使用钓鱼网络爬虫和 URL 沙箱来避免检测。这种做法还隐藏了原始主机,使删除钓鱼域变得更加困难。
这些服务的宣传口号是“一切皆有可能”和“忽略所有滥用报告”,旨在支持各种非法活动,而不存在被封锁的风险,为网络犯罪分子创造了一个安全的避风港。
发表评论