Microsoft saisit 240 sites web pour perturber la distribution mondiale de kits de phishing
Microsoft a récemment pris des mesures décisives contre la cybercriminalité en saisissant 240 sites web frauduleux associés à des kits de phishing « prêts à l’emploi » utilisés par des cybercriminels pour accéder aux comptes des utilisateurs. Cette action a été rendue possible grâce à une ordonnance civile émise par le tribunal du district Est de la Virginie, permettant à Microsoft de rediriger l’infrastructure technique malveillante vers ses propres serveurs, neutralisant ainsi définitivement l’utilisation de ces domaines dans de futures attaques de phishing.
Au cœur de cette opération se trouve Abanoub Nady, connu en ligne sous le pseudonyme « MRxC0DER », un individu basé en Égypte. Nady a développé et vendu des kits de phishing à des acteurs malveillants à travers le monde, en utilisant frauduleusement le nom de la marque légitime Open Neural Network Exchange (ONNX) pour commercialiser ses services. ONNX est un format standard ouvert et une plateforme open source permettant la représentation de modèles d’apprentissage automatique, facilitant l’interopérabilité entre différents matériels, frameworks et outils pour un déploiement et une évolutivité accrus.
Nady et ses associés ont promu et vendu leurs offres illicites via des vitrines en ligne, notamment le faux ONNX Store. En plus de la saisie des domaines, la Linux Foundation, propriétaire de la marque déposée « ONNX », et Microsoft ont intenté une action en justice contre Nady et quatre personnes non identifiées pour exploitation illégale de la marque ONNX. Le tribunal a informé les défendeurs qu’ils devaient comparaître dans cette affaire, faute de quoi Microsoft et la Linux Foundation obtiendraient gain de cause par défaut.
Microsoft a déclaré que cette action entraverait considérablement les opérations frauduleuses de MRxC0DER. L’entreprise a affirmé : « Prendre des mesures envoie un message fort à ceux qui choisissent de reproduire nos services pour nuire aux utilisateurs en ligne : nous poursuivrons de manière proactive des recours pour protéger nos services et nos clients, et nous améliorons continuellement nos stratégies techniques et juridiques pour avoir un impact plus grand. »
Cependant, Microsoft reconnaît que d’autres acteurs malveillants pourraient combler le vide laissé par cette opération et s’attend à ce que les cybercriminels adaptent leurs techniques en réponse.
ONNX facilitant l’expansion des opérations de phishing
Microsoft a indiqué que l’opération de phishing en tant que service (PhaaS) dirigée par Nady représente une part significative des dizaines à centaines de millions de messages de phishing observés chaque mois. Les opérations liées à ONNX figuraient parmi les cinq principaux fournisseurs de kits de phishing en termes de volume d’e-mails au cours du premier semestre 2024.
L’industrie des services financiers a été particulièrement ciblée par les kits de phishing vendus sur ONNX, en raison des données sensibles et des transactions qu’elle traite. Ces kits sont conçus pour envoyer des e-mails en masse, facilitant des campagnes de phishing coordonnées. Ils permettent aux cybercriminels de mener leurs propres attaques de phishing en utilisant les modèles fournis et l’infrastructure technique frauduleuse d’ONNX, y compris les domaines de sites web.
Les cybercriminels peuvent également utiliser des domaines achetés ailleurs et les connecter à l’infrastructure technique frauduleuse d’ONNX, permettant ainsi à leurs opérations de phishing de croître et de s’étendre. Les kits facilitent également les techniques de phishing de type « adversaire au milieu » (AiTM), où les attaquants s’injectent secrètement dans les communications réseau pour voler des identifiants et des cookies afin de contourner les défenses d’authentification multifacteur (MFA).
L’opération frauduleuse d’ONNX propose un modèle d’abonnement avec des options Basic, Professional et Enterprise, offrant différents niveaux d’accès et de support. Les utilisateurs Enterprise peuvent également acheter une fonctionnalité supplémentaire de « Support VIP illimité », qui fournit des instructions détaillées sur l’utilisation réussie des kits de phishing pour commettre des cybercrimes.
Les kits de phishing sont principalement promus, vendus et configurés via Telegram. Microsoft a suivi l’activité liée à l’opération de Nady depuis 2017. D’autres vitrines en ligne utilisées parallèlement à ONNX pour vendre les kits de phishing incluent « Caffeine » et « FUHRER ».
Une victoire avec des réserves
Bien que la saisie de 240 domaines constitue un coup significatif porté aux opérations de phishing, Microsoft souligne que les cybercriminels sont adaptatifs et susceptibles de développer de nouvelles méthodes pour contourner les défenses. Néanmoins, la perturbation du réseau de Nady représente une étape cruciale dans la lutte continue contre la cybercriminalité mondiale, protégeant ainsi les utilisateurs et les organisations contre des préjudices importants.