Expertos en ciberseguridad han descubierto una nueva campaña de phishing con códigos QR, también conocida como "quishing", que aprovecha Microsoft Sway para hospedar páginas de destino falsas y robar credenciales, códigos de autenticación de múltiples factores (MFA) y cookies.
Sway es una aplicación gratuita de narración digital basada en la nube lanzada en 2015 como parte de la familia de productos Microsoft 365. Permite a los usuarios crear y compartir diseños interactivos para informes, historias personales, presentaciones, documentos y más.
Netskope Threat Labs, una empresa de ciberseguridad, registró por primera vez la estafa de quishing en julio de 2024. La compañía detectó un aumento de 2,000 veces en las campañas de ciberataques en Sway, utilizando una variedad de tácticas para eludir las soluciones de ciberseguridad de Microsoft.
Estos embates de ciberataques se dirigieron principalmente a las industrias de tecnología, manufactura y finanzas, especialmente en Asia y América del Norte.
Las campañas de phishing de códigos QR de Microsoft se originaron en correos electrónicos, lo confirma Neskope.
Los investigadores descubrieron que los correos electrónicos enviados a usuarios de Sway redirigían a páginas de phishing alojadas en el dominio sway.cloud.microsoft. Estas páginas de phishing mostraban un [...] código QR falso , que se alentaba a los usuarios a escanear para llevarlos a otras páginas web maliciosas.
Dado que la URL está integrada dentro de una imagen, los escáneres de correo electrónico que solo pueden escanear contenido basado en texto pueden ser eludidos. Además, cuando a un usuario se le envía un código QR, puede utilizar otro dispositivo, como su teléfono móvil, para escanear el código. Investigadores de Netskope observaron.
Incitar a los usuarios a utilizar sus teléfonos móviles para escanear estos códigos QR es una estrategia común de estafas, ya que la mayoría de los teléfonos cuentan con medidas de seguridad más débiles.
Es probable que los actores maliciosos eludan los controles de seguridad contra el phishing en teléfonos inteligentes, ya que generalmente no vienen equipados con software antivirus o soluciones de Detección y Respuesta de Endpoints, las cuales se encuentran usualmente solo en computadoras personales.
Dado que las medidas de seguridad implementadas en dispositivos móviles, especialmente en teléfonos celulares personales, generalmente no son tan estrictas como en laptops y computadoras de escritorio, las víctimas suelen ser más vulnerables al abuso. investigadores añadieron.
Las campañas de phishing con códigos QR se aprovecharon de Cloudflare Turnstile para evitar ser detectadas.
Lo que hace que estas campañas de phishing sean mucho más efectivas es el uso de software web confiable para parecer más creíbles y evadir la detección de sus tácticas de estafa.
Los investigadores confirmaron que estos estafadores utilizaron Cloudflare Turnstile para ocultar sus páginas de destino de los escáneres de URL estáticas y servicios de filtrado web. Esto ayudó a los estafadores a mantener una buena reputación, haciéndolos indetectables incluso para herramientas destinadas a proteger sitios web de bots.
Los ciberatacantes también usaron phishing transparente, que emplea ataques del adversario en el medio. Esta táctica de estafa robó códigos de autenticación multifactor a través de una página de aspecto similar mientras se inicia sesión en la cuenta legítima de Microsoft de la víctima.
Utilizando la táctica de las cuentas de Microsoft conectadas, los usuarios pensaban que estaban accediendo a un sitio web legítimo, ganando así su confianza y haciendo que bajaran la guardia en el proceso.
Al utilizar aplicaciones legítimas de la nube, los atacantes brindan credibilidad a las víctimas, ayudándoles a confiar en el contenido que ofrecen.
Además, una víctima utiliza su cuenta de Microsoft 365 en la que ya ha iniciado sesión al abrir una página de Sway, lo que puede ayudar a persuadirla sobre su legitimidad. Los investigadores de Netskope señalaron.
‘Esta no es la primera vez’: Microsoft Sway tiene un historial de ataques de phishing.
En abril de 2020, actores maliciosos llevaron a cabo una campaña de phishing similar llamada PerSwaysion, apuntando a credenciales de inicio de sesión de Office 365 utilizando un kit de phishing incluido en una operación de malware como servicio (MaaS).
Los investigadores de seguridad de Group-IB descubrieron que la campaña aprovechó Microsoft Sway para dirigirse a altos cargos y directores de empresas de servicios financieros de pequeñas y medianas dimensiones, bufetes de abogados y grupos inmobiliarios.
Se recopilaron más de 156 credenciales comprometiendo sus correos electrónicos corporativos. Al menos 20 de estas cuentas de phishing pertenecen a ejecutivos de varias empresas en EE. UU., Canadá, Alemania, Hong Kong, Singapur, Países Bajos y Reino Unido.
Las pruebas indican que es probable que los estafadores utilicen perfiles de LinkedIn para evaluar las posiciones de posibles víctimas.
"Esta táctica reduce la posibilidad de alerta temprana por parte de los compañeros de trabajo del actual afectado y aumenta la tasa de éxito del nuevo ciclo de phishing." Investigadores de Group-IB dijeron.
La naturaleza basada en imágenes de los códigos QR se aprovecha para lanzar campañas de phishing.
Mejorar las medidas de ciberseguridad y los contramedidas sigue siendo una de las misiones principales de empresas tecnológicas como Microsoft y organizaciones de software como servicio que ofrecen. generador de códigos QR gratuito Traduce la siguiente oración al español, asegurándote de que se preserve el significado, tono y estilo: online. Translation: en línea.
En medio del desarrollo de medidas de ciberseguridad más estrictas, sin embargo, los actores malintencionados también están fortaleciendo sus campañas de phising y contramedidas. Están volviéndose más astutos al aprovechar las vulnerabilidades de las aplicaciones legítimas de ciberseguridad en su contra.
Como lo demuestran estos ataques de phishing en Sway, la vulnerabilidad radica en las amenazas basadas en imágenes, como los códigos QR. La mayoría de los escáneres de correo electrónico solo estaban calibrados para escanear contenido basado en texto, no para URLs dentro de imágenes.
El uso de códigos QR para redirigir a las víctimas a sitios web de phishing plantea algunos desafíos para los defensores.
Dado que la URL está incrustada dentro de una imagen, los escáneres de correo electrónico que solo pueden analizar contenido basado en texto pueden ser eludidos. Netskope replicó.
Las empresas deben revisar sus políticas de seguridad e intensificar la ciberseguridad.
El avance de las campañas de phishing indica a las organizaciones que revisen sus políticas de ciberseguridad en escaneo y filtrado de tráfico web y en la nube. Mejores políticas significan menos posibilidades de que los empleados accedan a sitios web maliciosos.
Al mismo tiempo, se recomienda a los usuarios individuales verificar las URLs antes de hacer clic. Aún mejor, escribir directamente el sitio web en la barra de direcciones del navegador para evitar caer en estafas de phishing mediante códigos QR.
El phishing basado en códigos QR se ha convertido recientemente en un problema importante y parece poco probable que disminuya. Recientemente, la investigación de Cofense encontró un aumento del 331% en informes de amenazas activas basadas en códigos QR. Max Gannon de Cofense dijo.
El abuso de Microsoft Sway en esta campaña resalta aún más que los actores de amenazas tienen a su disposición un método fácil y predefinido para eludir muchos controles de seguridad automatizados: simplemente abusar de un servicio de intercambio de confianza. Gannon agregó.
