Эксперты по кибербезопасности обнаружили новую атаку методом фишинга с использованием QR-кодов, также известную как "квишинг", которая злоупотребляет сервисом Microsoft Sway для размещения поддельных лендинговых страниц и кражи учетных данных, кодов многофакторной аутентификации (MFA) и файлов cookie.
Sway - это бесплатное облачное приложение для рассказов, запущенное в 2015 году в рамках семьи продуктов Microsoft 365. Оно позволяет пользователям создавать и делиться интерактивными дизайнами для отчетов, личных историй, презентаций, документов и многое другое.
Лаборатория угроз Netskope, занимающаяся кибербезопасностью, впервые зарегистрировала мошенническую схему quishing в июле 2024 года. Компания обнаружила увеличение в 2000 раз кибератак с использованием различных тактик для обхода киберзащиты Microsoft на платформе Sway.
Эти атаки посредством киберпроникновений в основном были направлены на технологические, производственные и финансовые отрасли, в основном в Азии и Северной Америке.
Компания Neskope подтверждает, что кампании по рыбной ловле с использованием QR-кодов от Microsoft начались с электронных писем.
Исследователи обнаружили, что электронные письма, отправленные пользователям Sway, перенаправлялись на страницы для рыбачьей атаки, размещенные на домене sway.cloud.microsoft. поддельный QR-код , на которые пользователей привлекали для сканирования, чтобы направить их на другие вредоносные веб-страницы.
Поскольку URL встроен внутри изображения, антивирусные сканеры электронной почты, способные сканировать только текстовое содержимое, могут быть обойдены. Кроме того, когда пользователю отправляется QR-код, они могут использовать другое устройство, такое как их мобильный телефон, для сканирования кода. Исследователи Netskope наблюдали.
Предложение пользователям использовать свои мобильные телефоны для сканирования этих QR-кодов - это распространенная стратегия мошенничества, поскольку у большинства телефонов слабые меры безопасности.
Злоумышленники вероятно обойдут системы безопасности против фишинга на смартфонах, так как они часто не оснащены антивирусным программным обеспечением или Решениями для обнаружения и предотвращения атак на конечные точки, которые обычно присутствуют только на компьютерах.
Поскольку меры безопасности, реализованные на мобильных устройствах, особенно на личных сотовых телефонах, обычно не так строги, как на ноутбуках и стационарных компьютерах, жертвы становятся более уязвимыми для злоупотреблений. исследователи добавили
Кампании по рыбалке с помощью QR-кодов воспользовались функцией Cloudflare Turnstile для избежания обнаружения.
Что делает эти квишинговые кампании намного более эффективными, это использование надежного веб-программного обеспечения для создания более убедительного вида и избегания обнаружения их мошеннических тактик.
Исследователи подтвердили, что эти мошенники использовали Cloudflare Turnstile для скрытия своих посадочных страниц от статических сканеров URL и веб-фильтров. Это помогло мошенникам сохранить хорошую репутацию и сделало их недосягаемыми для инструментов, предназначенных для защиты веб-сайтов от ботов.
Киберзлоумышленники также использовали метод прозрачного фишинга, который включает в себя атаки с противником посередине. Эта тактика мошенничества украла многофакторные коды аутентификации через похожую по внешнему виду страницу, одновременно входя в учётную запись жертвы на официальном сайте Microsoft.
Использование тактики с использованием учетных записей Microsoft заставило пользователей думать, что они получают доступ к легитимному веб-сайту, повысило их уверенность и снизило бдительность.
Используя законные облачные приложения, злоумышленники предоставляют доверие жертвам, помогая им доверять содержанию, которое они предоставляют.
"Кроме того, пострадавший использует свою учетную запись Microsoft 365, в которую он уже вошел, когда открывает страницу Sway, что может помочь убедить его в ее законности." Исследователи Netskope отметили.
‘Это не первый раз’: Microsoft Sway имеет историю атак фишинга
В апреле 2020 года злоумышленники провели аналогичную кампанию по фишингу под названием PerSwaysion, нацеливаясь на учетные данные для входа в Office 365 с использованием набора для фишинга, входящего в операцию malware-as-a-service (MaaS).
Исследователи по безопасности из Group-IB обнаружили, что в рамках кампании использовалась платформа Microsoft Sway для нападения на высокопоставленных офицеров и директоров малых и средних финансовых компаний, юридических фирм и групп в сфере недвижимости.
Более 156 логинов были получены путём вмешательства в корпоративную электронную почту. По меньшей мере 20 из этих украденных учётных записей принадлежат руководителям различных фирм в США, Канаде, Германии, Гонконге, Сингапуре, Нидерландах и Великобритании.
Доказательства показывают, что мошенники, вероятно, используют профили LinkedIn для оценки позиций потенциальных жертв.
Тактика снижает возможность оперативного предупреждения со стороны коллег текущей жертвы и повышает успешность нового цикла рыболовства. Исследователи Group-IB заявили.
Изображения QR-кодов используются для запуска фишинговых кампаний.
Улучшение мер безопасности и противодействие им остаются одной из основных миссий технологических компаний, таких как Microsoft, и организаций по предоставлению программного обеспечения как услуги. бесплатный генератор QR-кодов Translate: "Please let me know if you need any further assistance." into Russian.
В условиях ужесточения мер кибербезопасности злоумышленники также усиливают свои кемпейны по фишингу и контрмеры. Они становятся умнее, используя уязвимости в официальных приложениях кибербезопасности против самих себя.
Как показали эти фишинговые атаки на Sway, уязвимость заключается в угрозах на основе изображений, таких как QR-коды. Большинство почтовых сканеров были настроены только на сканирование текстового контента, а не URL-адресов внутри изображений.
Использование QR-кодов для перенаправления жертв на фишинговые сайты создает некоторые проблемы для защитников.
Поскольку URL встроен в изображение, почтовые сканеры, способные сканировать только текстовый контент, могут быть обойдены. Нетскоп возразил.
Компании должны пересмотреть свои политики безопасности и усилить кибербезопасность.
Продвижение фишинговых кампаний заставляет организации пересмотреть свои политики кибербезопасности по сканированию и фильтрации веб- и облачного трафика. Более эффективные политики означают меньше шансов того, что сотрудники получат доступ к вредоносным веб-сайтам.
В то же время, отдельным пользователям рекомендуется проверять URL-адреса перед нажатием. Или, лучше всего, введите веб-сайт непосредственно в адресную строку браузера, чтобы избежать попадания в схемы мошенничества с QR-кодами.
Фишинг на основе QR-кодов недавно стал серьезной проблемой и, по-видимому, не склонен к снижению. Недавно исследование Cofense выявило увеличение на 331% в отчетах об активных угрозах с использованием QR-кодов. Макс Гэннон из компании Cofense сказал.
Злоупотребление Microsoft Sway в этой кампании дополнительно подчеркивает, что угрожающие стороны имеют готовый, легкий способ обойти множество автоматизированных средств безопасности - просто злоупотребить доверенным сервисом обмена. Гэннон добавил.
