Microsoft neemt 240 websites gelinkt aan doe-het-zelfphishingkits in beslag

Microsoft heeft door middel van een gerechtelijk bevel 240 frauduleuze websites overgenomen. De sites worden gelinkt aan een hacker die ONNX-phishingkits verspreidt. Cybercriminelen kunnen deze kits inzetten om grootschalige phishingaanvallen op Microsoft-accounts uit te voeren.

In een blogpost schrijft Microsofts Digital Crimes Unit dat MRxC0DER, een Egyptische facilitator van cybercrime, de websites gebruikte om doe-het-zelfphishingkits te verkopen. De kits maken op frauduleuze wijze gebruik van de ONNX-merknaam en werden verkocht aan 'tal van cybercriminelen en andere online bedreigers'. Volgens de DCU richten aanvallers met deze tools zich vooral op financiële diensten. Naast ONNX biedt MRxC0DER ook schadelijke software aan met de namen Caffeine en Fuhrer.

Microsoft merkt op dat phishingmails die via dergelijke kits worden verspreid een aanzienlijk deel vertegenwoordigen van de tientallen tot honderden miljoenen aanvallen die door het bedrijf worden gedetecteerd. ONNX bevindt zich op basis van de hoeveelheid mails in de top vijf van aanbieders van phishingkits, aldus Microsoft.

De inbeslagname is tot stand gekomen met behulp van een civiele rechter in de Amerikaanse staat Virginia. Hoewel deze actie een aanzienlijke impact moet hebben op de werking van ONNX, verwacht de DCU dat andere aanbieders het gat gaan vullen en dat aanvallers hun methodes gaan aanpassen. Het moet in ieder geval een sterk signaal zijn naar degenen die Microsofts diensten willen namaken of gebruikers schade toe willen brengen via het internet.

Door Idriz Velghe

Redacteur

Feedback • 22-11-2024 14:16
15 • submitter: Anonymoussaurus

22-11-2024 • 14:16

15

Submitter: Anonymoussaurus

Lees meer

Hackers voeren phishingaanvallen uit op adverteerders via neppe Google Ads
Hackers voeren phishingaanvallen uit op adverteerders via neppe Google Ads Nieuws van 17 januari 2025
Microsoft: we gebruiken Office-data niet voor trainen AI-modellen - update
Microsoft: we gebruiken Office-data niet voor trainen AI-modellen - update Nieuws van 26 november 2024
Nederlandse gemeente maakt 93.000 euro over bij nepfactuur
Nederlandse gemeente maakt 93.000 euro over bij nepfactuur Nieuws van 25 november 2024
Nederlandse gemeenten waarschuwen voor QR-codes op parkeerautomaten
Nederlandse gemeenten waarschuwen voor QR-codes op parkeerautomaten Nieuws van 20 november 2024
Hack op Nederlandse politie vermoedelijk uitgevoerd via gestolen cookies
Hack op Nederlandse politie vermoedelijk uitgevoerd via gestolen cookies Nieuws van 8 november 2024
Interpol haalt ruim 22.000 malafide IP-adressen offline
Interpol haalt ruim 22.000 malafide IP-adressen offline Nieuws van 7 november 2024
Google Cloud gaat multifactorauthenticatie vanaf volgend jaar verplichten
Google Cloud gaat multifactorauthenticatie vanaf volgend jaar verplichten Nieuws van 6 november 2024
Meer producten en artikelen
Beveiliging en antivirus Internet Microsoft Cybercrime Hack Hackers Phishing

Reacties (15)

-Moderatie-faq
15
15
11
1
0
3
Wijzig sortering

Sorteer op:

Weergave:
DDX 22 november 2024 14:31
Waarom neemt Microsoft dit eigenlijk in beslag en niet een overheidsinstantie ?

'Through a civil court order unsealed today in the Eastern District of Virginia, this action redirects the malicious technical infrastructure to Microsoft'

Lijkt me ook niet helemaal de bedoeling dat Microsoft (zover ze dat al niet konden) informatie over deze bezoekers nu krijgt.
Tuurlijk voor het goede doel, maar redirecten naar een overheidspagina lijkt mij logischer.

[Reactie gewijzigd door DDX op 22 november 2024 14:36]

wildhagen
@DDX22 november 2024 14:34
Waarom neemt Microsoft dit eigenlijk in beslag en niet een overheidsinstantie ?
De Microsoft DCU (Digital Crimes Unit, zie Wikipedia: Microsoft Digital Crimes Unit) heeft vermoedelijk meer expertise in huis op dit vlak dan een overheidsinstantie. Sowieso was de phishing ook (mede) gericht op Microsoft-accounts.

Maar Microsoft doet dit wel in samenwerking met de juiste diensten hoor:
The DCU has international offices located in major cities such as: Beijing, Berlin, Bogota, Delhi, Dublin, Hong Kong, Sydney, and Washington, D.C. The DCU's main focuses are child protection, copyright infringement and malware crimes. The DCU must work closely with law enforcement to ensure the perpetrators are punished to the full extent of the law.
Het is dus niet alsof ze zelf zomaar hun gang kunnen gaan.

En hun acties hebben al best wel wat grote namen opgerold:
The DCU has taken down many major botnets such as the Citadel, Rustock, and Zeus. Around the world malware has cost users about $113 billion and the DCU's jobs is to shut them down in accordance with the law.
(beide quotes van het eerder gelinkte Wikipedia artikel)

[Reactie gewijzigd door wildhagen op 22 november 2024 14:35]

DDX @wildhagen22 november 2024 14:51
'Sowieso was de phishing ook (mede) gericht op Microsoft-accounts.'
Dat heeft er denk meer mee te maken dat een groot percentage van email domeinnamen wereldwijd op office365 draaien ?

En dat nauw samenwerken met zullen ze gelukkig wel moeten doen aangezien ze zelf geen rechtbank/politie zijn.

Op zelfde manier zou Brein ook nzb sites naar hun website kunnen redirecten en op die manier informatie over eindgebruikers verzamelen ?
Maar zover ik mij herinner zijn de acties altijd offline halen of waarschuwingen sturen.
magician2000 @DDX22 november 2024 22:48
Het kan natuurlijk heel goed zijn dat op deze manier e.e.a. veel sneller gaat dan wanneer enkel overheidsinstanties zich hiermee bezig houden. Er zullen ongetwijfeld duidelijke afspraken zijn over wat er wel en niet gedaan mag worden en hoe ze e.e.a. vast moeten leggen. Dan kan een win-win zijn voor het bedrijf en voor de instanties die zich hier anders op moeten richten en andere zaken moeten laten liggen.

Uiteraard is voorzichtigheid geboden bij dit soort zaken.
Christoxz @DDX22 november 2024 14:44
Grote kans omdat deze phising voornamelijk MS klanten/gebruikers raakt.

Zie bijvoorbeeld de vorige inbeslagname.
https://blogs.microsoft.c...tions-from-cyber-threats/
Microsoft to seize 66 unique domains used by Star Blizzard in cyberattacks targeting Microsoft customers globally, including throughout the United States
Het zijn dus waarschijnlijk domeinnamen die lijken of te linken valt aan Microsoft.
Deze zijn dus het beste in handen van Microsoft zelf.
DDX @Christoxz22 november 2024 14:54
Omdat heel veel mail wereldwijd via Office 365 loopt ?
Voorbeeld wat je linkt zie ik niet direct dat ze bijvoorbeeld fake windows licenties verkopen oid.
the_stickie @DDX22 november 2024 14:35
Microsoft heeft het bij de rechtbank aannemelijk gemaakt dat ze betrokken partij zijn.
Tomatoman @the_stickie22 november 2024 15:52
Nee, de rechtbank heeft vastgesteld dat ze een betrokken partij of belanghebbende partij zijn.
Frame164 @Tomatoman22 november 2024 17:44
Op basis van input van o.a. Microsoft. Een rechtbank verzint geen informatie, doet ook geen onderzoek, maar krijgt informatie van 1 of meerdere partijen in een rechtzaak en gaat daar mee aan de slag.
themadone @DDX22 november 2024 15:02
Ze plaatsen een webserver waar alle verzoeken landen, beter daar dan op de command and control van de hackers lijkt me?

Sowieso kunnen de meeste overheidsinstanties niet ff een website de lucht in gooien die ook daadwerkelijk miljoenen requests netjes afhandeld. Zie hiervoor bijvoorbeeld DigiD en de belastingdienst rond aangifte seizoen.
OttoRocketman 22 november 2024 14:23
Het moet in ieder geval een sterk signaal zijn naar degenen die Microsofts diensten willen namaken of gebruikers schade toe willen brengen via het internet.
Ik denk pas dat het een sterk signaal is, zodra de mensen erachter worden gepakt.

Heb zelf ook eens meegemaakt dat de inlogpagina van een webapp van mij werd nagemaakt, kon het toen via de desbetreffende hostingprovider binnen 10 minuten offline halen. Kan me haast niet voorstellen hoevaak Microsoft dit meemaakt.

Ben wel benieuwd hoeveel tijd het proces met de civiele rechter in beslag nam, moet namelijk niet te lang duren om het aantal slachtoffers te minimaliseren.
dasiro 22 november 2024 14:24
het bronartikel blijft onduidelijk of het over de volledige infrastructuur gaat, dan wel gewoon de DNS-records van de domeinen.
wildhagen
22 november 2024 14:24
Goede zaak dat dit soort sites down gehaald worden, hopelijk volgen er meer. Ben alleen beetje bang dat het een druppel op een gloeiende plaat is. Als je ziet hoeveel phishing attacks er uitgevoerd worden, en hoe veel mensen er slachtoffer van worden, is het vechten tegen de bierkaai.

Maar beter dan helemaal niets doen uiteraard.

Wel jammer dat er niets gemeld wordt over arrestaties van de daders die achter deze sites zitten, en hun klanten. Nou snap ik dat die natuurlijk lastig op te sporen zullen zijn, maar het blijft jammer omdat er op deze manier een minder afschrikwekkende werking uitgaat van het oprollen van deze sites.

Een nieuwe site is immers snel opgebouwd, maar als de dader erachter een tijdje te gast is bij de overheid in een cel wordt dat iets lastiger.
Frame164 @wildhagen22 november 2024 17:46
Het is gewoon veel te makkelijk om zoiets te beginnen. Als het net zo moeilijk zou zijn als bijvoorbeeld een fysiek bedrijf van waar je oplichtingspraktijken wilt starten dan ligt de lat al flink hoger. Hetzelfde geldt voor spam. Als een email versturen geld zou kosten was er aanzienlijk minder spam.
pk128934 22 november 2024 23:24
Zorgelijk dat MS deze overname doet. Vreemd dat de rechter dat mandaat toewijst aan MS. Onduidelijk artikel over waar die websites precies gehost worden. Egypte? Raar dat een rechter in Virginia denkt daarover te kunnen beslissen. Het zal wel aan Amerika liggen.

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq