Esperti di sicurezza informatica hanno scoperto una nuova campagna di phishing con codici QR, nota anche come "quishing", che sfrutta Microsoft Sway per ospitare pagine di destinazione false e rubare credenziali, codici di autenticazione multi-fattore (MFA) e cookie.
Sway è un'applicazione gratuita basata su cloud per la narrazione digitale, lanciata nel 2015 come parte della famiglia di prodotti Microsoft 365. Consente agli utenti di creare e condividere design interattivi per relazioni, storie personali, presentazioni, documenti e altro ancora.
Netskope Threat Labs, una società di cybersecurity, ha registrato per la prima volta la truffa di quishing nel luglio 2024. L'azienda ha rilevato un aumento di 2.000 volte nelle campagne di attacchi informatici su Sway, utilizzando una serie di tattiche per aggirare le soluzioni di cybersecurity di Microsoft.
Questi sbarramenti di cyberattacchi hanno preso di mira principalmente settori tecnologici, manifatturieri e finanziari, in particolare in Asia e in America del Nord.
Le campagne di phishing con codici QR di Microsoft hanno avuto origine da email, conferma Neskope.
I ricercatori hanno scoperto che le email inviate agli utenti di Sway venivano reindirizzate verso pagine di phishing ospitate sul dominio sway.cloud.microsoft. Queste pagine di phishing mostravano un QR code falso , che agli utenti veniva incoraggiato a scannerizzare per condurli verso altre pagine web dannose.
Poiché l'URL è incorporato all'interno di un'immagine, i controllori di posta elettronica che possono scansionare solo contenuti basati su testo possono essere evitati. Inoltre, quando a un utente viene inviato un codice QR, potrebbe utilizzare un altro dispositivo, come il suo telefono cellulare, per eseguire la scansione del codice. I ricercatori di Netskope hanno osservato.
Incitare gli utenti a utilizzare i loro telefoni cellulari per scansionare questi codici QR è una strategia comune di truffa, poiché la maggior parte dei telefoni ha misure di sicurezza più deboli.
Probabilmente, attori malevoli riusciranno a eludere i controlli di sicurezza contro il phishing sui dispositivi mobili, poiché spesso non sono dotati di software antivirus o soluzioni di Rilevamento e Risposta agli Endpoint, che di solito sono presenti solo sui PC.
Poiché le misure di sicurezza implementate sui dispositivi mobili, in particolare i telefoni cellulari personali, di solito non sono così rigorose come nei laptop e desktop, le vittime sono spesso più vulnerabili agli abusi. I ricercatori hanno aggiunto.
Le campagne di phishing con codici QR hanno sfruttato Cloudflare Turnstile per evitare la rilevazione.
Ciò che rende queste campagne di phishing molto più efficaci è l'uso di software web affidabili per sembrare più credibili ed eludere il rilevamento delle loro tattiche truffaldine.
I ricercatori hanno confermato che questi truffatori hanno utilizzato Cloudflare Turnstile per nascondere le loro pagine di destinazione dagli scanner di URL statici e dai servizi di filtraggio web. Questo ha aiutato i truffatori a mantenere una buona reputazione, rendendoli indistinguibili persino agli strumenti destinati a proteggere i siti web dai bot.
I cyberattaccanti hanno anche sfruttato il phishing trasparente, che impiega attacchi di intrusione in mezzo. Questa tattica truffaldina ha rubato codici di autenticazione a più fattori attraverso una pagina dal aspetto simile mentre contemporaneamente accedendo all'account Microsoft legittimo della vittima.
Utilizzando la tattica degli account Microsoft connessi ha fatto sì che gli utenti pensassero di accedere a un sito web legittimo, acquisendo la loro fiducia e abbassando le loro difese nel processo.
Utilizzando applicazioni cloud legittime, gli aggressori conferiscono credibilità alle vittime, aiutandole a fidarsi dei contenuti che forniscono.
Inoltre, una vittima utilizza il proprio account Microsoft 365 a cui è già connessa quando apre una pagina Sway, il che può contribuire a convincerla della sua legittimità. I ricercatori di Netskope hanno annotato.
‘Questa non è la prima volta’: Microsoft Sway ha un record di attacchi di phishing
Ad aprile 2020, attori malintenzionati hanno messo in atto una campagna di phishing simile chiamata PerSwaysion, mirando alle credenziali di accesso di Office 365 utilizzando un kit di phishing incluso in un'operazione di malware-as-a-service (MaaS).
I ricercatori sulla sicurezza di Group-IB hanno scoperto che la campagna ha sfruttato Microsoft Sway per mirare a ufficiali di alto rango e direttori di piccole e medie imprese di servizi finanziari, studi legali e gruppi immobiliari.
Sono stati raccolti oltre 156 credenziali compromettendo le loro email aziendali. Almeno 20 di questi account pescati appartengono a dirigenti di varie aziende negli Stati Uniti, Canada, Germania, Hong Kong, Singapore, Paesi Bassi e Regno Unito.
Le prove indicano che è probabile che gli truffatori utilizzino i profili LinkedIn per valutare le posizioni potenziali delle vittime.
Una tale tattica riduce la possibilità di un avvertimento anticipato da parte dei colleghi attuali della vittima e aumenta il tasso di successo di un nuovo ciclo di phishing. I ricercatori di Group-IB hanno dichiarato.
La natura basata sull'immagine dei codici QR viene sfruttata per lanciare campagne di phishing.
Migliorare le misure di sicurezza informatica e i contromisure rimane una delle missioni principali delle aziende tecnologiche come Microsoft e delle organizzazioni di software come servizio che offrono un generatore di codici QR gratuito Translation: Traduci la seguente frase in italiano, assicurandoti che il significato, il tono e lo stile siano preservati.
Nel mezzo dello sviluppo di misure più rigorose sulla sicurezza informatica, tuttavia, gli attori malintenzionati stanno rafforzando anche le loro campagne di phising e i contro-meccanismi. Stanno diventando più intelligenti sfruttando le lacune delle app legittime di sicurezza informatica contro di esse.
Come dimostrato da questi attacchi di phishing su Sway, la vulnerabilità risiede nelle minacce basate sull'immagine, come i codici QR. La maggior parte dei scanner di posta elettronica era tarata solo per esaminare contenuti basati sul testo, non gli URL all'interno delle immagini.
Utilizzare i codici QR per indirizzare le vittime ai siti di phishing pone alcune sfide ai difensori.
Poiché l'URL è incorporato all'interno di un'immagine, i scanner email che possono scansionare solo contenuti basati su testo possono essere elusi. Netskope replicò.
Le aziende hanno bisogno di rivedere le loro politiche di sicurezza e intensificare la cybersecurity.
L'avanzamento delle campagne di phishing segnala alle organizzazioni di rivedere le proprie politiche di sicurezza informatica sulla scansione e filtraggio del traffico web e cloud. Politiche migliori significano minori probabilità che i dipendenti accedano a siti web dannosi.
Nel frattempo, agli utenti individuali si consiglia di controllare gli URL prima di fare clic. Meglio ancora, digitare direttamente il sito web nella barra degli indirizzi del browser per evitare di cadere nelle truffe dei codici QR.
Il phishing basato sui codici QR è recentemente diventato un grosso problema e sembra improbabile che diminuisca. Di recente, la ricerca di Cofense ha riscontrato un aumento del 331% negli episodi di minaccia attiva basati sui codici QR. Max Gannon di Cofense ha detto.
L'abuso di Microsoft Sway in questa campagna sottolinea ulteriormente che gli attori minacciosi hanno a disposizione un modo facile e pronto per eludere molti controlli di sicurezza automatizzati: basta abusare di un servizio di condivisione affidabile. Gannon aggiunse.
