Des experts en cybersécurité ont découvert une nouvelle campagne de hameçonnage par QR code, également connue sous le nom de "quishing", qui exploite Microsoft Sway pour héberger de fausses pages d'atterrissage et voler des identifiants, des codes d'authentification multi-facteurs (MFA) et des cookies.
Sway est une application de narration numérique basée sur le cloud lancée en 2015 dans le cadre de la famille de produits Microsoft 365. Elle permet aux utilisateurs de créer et de partager des conceptions interactives pour des rapports, des histoires personnelles, des présentations, des documents, et plus encore.
Les Netskope Threat Labs, une entreprise de cybersécurité, ont d'abord enregistré l'arnaque au phishing en juillet 2024. La société a détecté une augmentation de 2 000 fois des campagnes d'attaques informatiques sur Sway, utilisant une série de tactiques pour contourner les solutions de cybersécurité de Microsoft.
Ces barrages de cyberattaques ont principalement ciblé les industries technologiques, manufacturières et financières, notamment en Asie et en Amérique du Nord.
Les campagnes de phishing QR code de Microsoft ont pour origine des e-mails, confirme Neskope.
Les chercheurs ont découvert que les e-mails envoyés aux utilisateurs de Sway étaient redirigés vers des pages d'atterrissage de phishing hébergées sur le domaine sway.cloud.microsoft. Ces pages de phishing affichaient un... code QR faux , que les utilisateurs étaient encouragés à scanner pour les mener vers d'autres pages web malveillantes.
Étant donné que l'URL est incorporée dans une image, les scanners d'e-mails qui ne peuvent scanner que le contenu basé sur du texte peuvent être contournés. De plus, lorsqu'un utilisateur reçoit un code QR, il peut utiliser un autre appareil, tel que son téléphone mobile, pour scanner le code. Les chercheurs de Netskope ont observé.
Inciter les utilisateurs à utiliser leur téléphone portable pour scanner ces codes QR est une stratégie de fraude courante, car la plupart des téléphones ont des mesures de sécurité moins robustes.
Les acteurs malveillants sont susceptibles de contourner les contrôles de sécurité contre le hameçonnage sur les smartphones, car ils ne sont souvent pas équipés de logiciels antivirus ou de solutions de détection et réponse aux points d'extrémité, qui sont généralement présentes uniquement sur les PC.
Étant donné que les mesures de sécurité mises en place sur les appareils mobiles, en particulier les téléphones portables personnels, ne sont généralement pas aussi strictes que celles des ordinateurs portables et des ordinateurs de bureau, les victimes sont souvent plus vulnérables aux abus. chercheurs ajoutés.
Les campagnes de phishing par code QR ont profité du Cloudflare Turnstile pour éviter la détection.
Ce qui rend ces campagnes de hameçonnage beaucoup plus efficaces, c'est l'utilisation de logiciels web fiables pour paraître plus crédibles et éviter la détection de leurs tactiques d'escroquerie.
Les chercheurs ont confirmé que ces escrocs utilisaient Cloudflare Turnstile pour cacher leurs pages d'atterrissage aux scanners d'URL statiques et aux services de filtrage web. Cela a aidé les escrocs à maintenir une bonne réputation, les rendant indétectables même par des outils destinés à protéger les sites web des robots.
Les cyberattaquants ont également exploité le phishing transparent, qui utilise des attaques adversaire-intermédiaire. Cette tactique d'escroquerie volait codes d'authentification multi-facteurs à travers une page semblable tout en se connectant simultanément au compte Microsoft légitime de la victime.
En utilisant la tactique des comptes Microsoft connectés, les utilisateurs pensaient accéder à un site légitime, gagnant ainsi leur confiance et les incitant à baisser leur garde.
En utilisant des applications cloud légitimes, les attaquants donnent de la crédibilité aux victimes, les aidant à avoir confiance dans le contenu qu'elles proposent.
De plus, une victime utilise son compte Microsoft 365 auquel elle est déjà connectée lorsqu'elle ouvre une page Sway, ce qui peut l'aider à se convaincre de sa légitimité. Les chercheurs de Netskope ont noté.
‘Ce n'est pas la première fois’ : Microsoft Sway a un historique d'attaques de phishing
En avril 2020, des acteurs malveillants ont mené une campagne de phishing similaire appelée PerSwaysion, ciblant les identifiants de connexion Office 365 en utilisant un kit de phishing inclus dans une opération de malware en tant que service (MaaS).
Les chercheurs en sécurité de Group-IB ont découvert que la campagne utilisait Microsoft Sway pour cibler les cadres supérieurs et directeurs de petites et moyennes entreprises de services financiers, de cabinets d'avocats et de groupes immobiliers.
Plus de 156 identifiants ont été collectés en compromettant leurs e-mails d'entreprise. Au moins 20 de ces comptes de phishing appartiennent à des dirigeants de diverses entreprises aux États-Unis, au Canada, en Allemagne, à Hong Kong, à Singapour, aux Pays-Bas et au Royaume-Uni.
Les preuves indiquent que les escrocs ont tendance à utiliser les profils LinkedIn pour évaluer les positions potentielles des victimes.
Une telle tactique réduit la possibilité d'une alerte précoce de la part des collègues de travail de la victime actuelle et augmente le taux de succès du nouveau cycle de phishing. Les chercheurs du Group-IB ont déclaré.
La nature basée sur les images des codes QR est exploitée pour lancer des campagnes de phishing.
Améliorer les mesures de cybersécurité et les contre-mesures demeure l'une des missions principales des sociétés technologiques telles que Microsoft et des organisations de logiciels en tant que service qui proposent une. générateur de code QR gratuit Translate the following sentence into French: "I really appreciate all your help."
Au milieu du développement de mesures de cybersécurité plus strictes, cependant, les acteurs malveillants renforcent également leurs campagnes de hameçonnage et leurs contre-mesures. Ils deviennent plus astucieux en exploitant les failles des applications légitimes de cybersécurité contre elles-mêmes.
Comme le démontrent ces attaques de phishing sur Sway, la vulnérabilité réside dans les menaces basées sur les images, telles que les codes QR. La plupart des logiciels de filtrage d'e-mails étaient uniquement calibrés pour scanner le contenu basé sur du texte, et non les URL présentes dans les images.
Utiliser des codes QR pour rediriger les victimes vers des sites de phishing pose certains défis aux défenseurs.
Étant donné que l'URL est intégrée à l'intérieur d'une image, les scanners d'e-mails qui ne peuvent scanner que le contenu basé sur le texte peuvent être contournés. Netskope a répliqué.
Les entreprises doivent revoir leurs politiques de sécurité et intensifier la cybersécurité.
Faire avancer les campagnes de hameçonnage incite les organisations à revoir leurs politiques de cybersécurité en matière de balayage et de filtrage du trafic web et cloud. De meilleures politiques signifient moins de risques pour les employés d'accéder à des sites malveillants.
En même temps, les utilisateurs individuels sont priés de vérifier les URL avant de cliquer. Mieux encore, saisissez directement le site web dans la barre d'adresse du navigateur pour éviter de tomber dans les pièges d'hameçonnage par code QR.
Le phishing basé sur les codes QR est récemment devenu un problème majeur et semble peu susceptible de diminuer. Récemment, la recherche de Cofense a révélé une augmentation de 331% des signalements de menaces actives liées aux codes QR. "Max Gannon de Cofense a déclaré."
L'abus de Microsoft Sway dans cette campagne souligne encore que les acteurs de menace disposent d'un moyen facile et prêt à l'emploi pour contourner de nombreux contrôles de sécurité automatisés - il leur suffit d'abuser d'un service de partage de confiance. Gannon a ajouté.
