▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

Microsoft smantella l’infrastruttura PhaaS ONNX

Era attiva dal 2017 e si serviva di 240 domini per condurre attacchi su vasta scala. Ecco l’identikit della piattaforma di Phishing-as-a-Service ONNX e i passaggi che hanno permesso di fermarne l’attività.

Tecnologie/Scenari

Microsoft, in collaborazione con la Linux Foundation e con il supporto delle Autorità Giudiziarie statunitensi, ha neutralizzato una delle principali piattaforme di Phishing-as-a-Service, conosciuta con i nomi ONNX, oppure Caffeine o FUHRER. L'operazione ha portato alla chiusura di 240 domini utilizzati per condurre attacchi su vasta scala a livello globale.

L’azione in oggetto, formalizzata tramite un'ordinanza del tribunale distrettuale della Virginia, interrompe di fatto le attività di una rete attiva dal 2017, che aveva permesso ai cybercriminali di compromettere aziende e utenti di servizi tecnologici di primo piano, tra cui Microsoft 365, Google e Dropbox.

Una minaccia sofisticata

ONNX si è affermata come una delle principali piattaforme PhaaS durante la prima metà del 2024. Dalla sua infrastruttura partivano mensilmente decine di milioni di email fraudolente a obiettivi in tutto il mondo. La piattaforma, basata su un modello di abbonamento, offriva strumenti “chiavi in mano” per eseguire campagne di phishing con costi variabili da 150 a 550 dollari al mese. I servizi includevano kit preconfigurati per gli attacchi, meccanismi avanzati per il bypass dell’autenticazione a due fattori (2FA) e un’infrastruttura resistente a blocchi o rimozioni rapide, grazie a servizi di hosting a prova di manomissione.


Tra i metodi utilizzati dagli affiliati, uno dei più efficaci è stato il cosiddetto quashing, ossia il phishing tramite QR code. In altri termini, le email di phishing contenevano documenti PDF con codici QR malevoli che indirizzavano le vittime verso pagine di accesso fasulle, progettate per assomigliare a portali legittimi come quelli di Microsoft 365. La caratteristica distintiva di questi attacchi era la capacità di sfruttare dispositivi personali nell’ambito di programmi aziendali di tipo BYOD, complicando notevolmente il rilevamento da parte dei sistemi di sicurezza tradizionali.

L'infrastruttura tecnica di ONNX era progettata per garantire efficacia e persistenza degli attacchi. Tra le principali caratteristiche si evidenzia l’uso di codice JavaScript criptato, che veniva decifrato dinamicamente durante il caricamento delle pagine di phishing così da eludere efficacemente la detection. Inoltre venivano impiegati hosting a prova di censura per consentire ai threat actor di ritardare la chiusura dei domini compromessi, aumentando il tempo a disposizione per le campagne fraudolente.

La piattaforma integrava inoltre bot Telegram sia per il controllo delle campagne sia per gestire le interazioni in tempo reale con i target. Un elemento particolarmente pericoloso era la capacità di intercettare i codici 2FA, anche nel caso di account protetti con meccanismi di autenticazione avanzati.

La svolta investigativa

L’operazione ONNX ha subìto un colpo decisivo quando un ricercatore di sicurezza ha identificato e reso pubblica l'identità del presunto responsabile della piattaforma, così da permettere a Microsoft e alle autorità di avviare un’azione legale finalizzata al sequestro dei domini utilizzati per le campagne di phishing.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato
Iscriviti alla nostra Newsletter Gratuita. Iscriviti
GoogleNews Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Speciali Tutti gli speciali

Speciale

Speciale iperautomazione

Speciale

Speciale Backup e Resilienza 2025

Speciale

Speciale OT Security

Speciale

2025 obiettivo cybersecurity

Speciale

Previsioni per la cybersecurity del 2025

Calendario Tutto

Lug 08
Webinar Lexmark | XC9525: il nuovo standard della stampa professionale
Lug 08
Evento V-Valley Pure Storage 2025
Lug 08
Sales & Technical session Copilot for 365 – Italia Cloud Champion
Lug 08
Webinar: Scopri le Novità di Nutanix .NEXT 2025
Lug 09
Dell Technologies - Tech Rally Server: Workshop storage Hyperconverged
Lug 09
Forcepoint NGFW Multi-Layer Protection in Action
Lug 09
Creatività ed efficienza con Adobe: più veloci, più connessi, più creativi con le ultime novità al servizio dei team creativi
Lug 10
Azure Special Club
Lug 10
Bootcamp WatchGuard - Sicurezza senza compromessi: Scopri WatchGuard Endpoint Security

Ultime notizie Tutto

La rivoluzione quantistica nella cybersecurity: sfide e soluzioni

La rivoluzione del quantum computing mette a rischio la crittografia attuale: Umberto Pirovano di Palo Alto Networks spiega rischi, tempistiche e soluzioni post-quantum.

07-07-2025

SentinelOne premia i partner top performer in EMEA

Nel corso del PartnerOne Summit 2025 il vendor di cybersecurity premia i contributi di eccellenza all'innovazione nelle soluzioni di sicurezza dei propri partner

07-07-2025

Scattered Spider punta su attacchi a catena via fornitori BPO e call center

Noto gruppo criminale sfrutta la compromissione di fornitori BPO e call center per colpire più vittime in settori chiave. Facciamo il punto sulle nuove tattiche.

04-07-2025

Escalation di privilegi su Linux per due falle critiche

Scoperte due vulnerabilità concatenate che permettono a un attaccante locale di ottenere privilegi root su Linux. Disponibili le patch e i consigli di mitigazione.

04-07-2025

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

www.securityopenlab.it - 8.3.21 - 4.6.1