Microsoft QR Code Phishing ataca las credenciales de los usuarios: Expertos

By: Fatima P.Last updated:October 04, 2024

Expertos en ciberseguridad han descubierto una nueva campaña de phishing de códigos QR, también conocida como "QRLJacking"."quishing" - aplastamientoque explota Microsoft Sway para alojar páginas de inicio falsas y robar credenciales, códigos de autenticación multifactor (MFA) y cookies.

Sway es una aplicación gratuita de narración digital basada en la nube lanzada en 2015 como parte de la familia de productos de Microsoft 365. Permite a los usuarios crear y compartir diseños interactivos para informes, historias personales, presentaciones, documentos y más.

Netskope Threat Labs, una firma de ciberseguridad, registró por primera vez la estafa de quishing en julio de 2024. La compañía detectó un aumento de 2,000 veces en las campañas de ciberataques en Sway, utilizando una variedad de tácticas para evadir las soluciones de ciberseguridad de Microsoft.

Estos ataques cibernéticos se dirigieron principalmente a las industrias de tecnología, fabricación y finanzas, especialmente en Asia y América del Norte.

Tabla de Contenidos

    1. Las campañas de phishing de códigos QR de Microsoft se originaron en correos electrónicos, lo confirma Neskope.
    2. Las campañas de phishing de códigos QR se aprovecharon de Cloudflare Turnstile para evitar ser detectadas.
    3. 'Esta no es la primera vez': Microsoft Sway tiene un historial de ataques de phishing.
    4. La naturaleza basada en imágenes de los códigos QR se explota para lanzar campañas de phishing.
    5. Las empresas necesitan revisar sus políticas de seguridad e intensificar la ciberseguridad.

Las campañas de phishing de Microsoft con códigos QR se originaron a partir de correos electrónicos, Neskope lo confirma.

Microsoft QR code phishing

Los investigadores descubrieron que los correos electrónicos enviados a usuarios de Sway redirigían a páginas de phishing alojadas en el dominio de Sway.sway.cloud.microsoftdominio. Estas páginas de phishing mostraban una falsa página de inicio de sesión de Microsoft Office 365.Estafa de código QR, que se alentaba a los usuarios a escanear para llevarlos a otras páginas web maliciosas.

Dado que la URL está incrustada dentro de una imagen, los escáneres de correo electrónico que solo pueden escanear contenido basado en texto pueden ser eludidos. Además, cuando a un usuario se le envía un código QR, puede usar otro dispositivo, como su teléfono móvil, para escanear el código.Los investigadores de Netskope observaron.

Instar a los usuarios a escanear estos códigos QR con sus teléfonos móviles es una estrategia común de estafa, ya que la mayoría de los teléfonos cuentan con medidas de seguridad más débiles.

Los actores maliciosos probablemente eludirán los controles de seguridad contra el phishing en teléfonos inteligentes, ya que a menudo no vienen equipados con software antivirus o soluciones de Detección y Respuesta de Punto Final, que generalmente solo están presentes en las computadoras personales.

Dado que las medidas de seguridad implementadas en dispositivos móviles, particularmente en teléfonos celulares personales, generalmente no son tan estrictas como en computadoras portátiles y de escritorio, las víctimas suelen ser más vulnerables al abuso.investigadores añadieron.

Las campañas de phishing de códigos QR se aprovecharon de Cloudflare Turnstile para evitar la detección.

QR code quishing

Lo que hace que estas campañas de quishing sean mucho más efectivas es el uso de software web confiable para parecer más creíbles y evadir la detección de sus tácticas de estafa.

Los investigadores confirmaron que estos estafadores usaban Cloudflare Turnstile para ocultar sus páginas de destino de los escáneres de URL estáticas y servicios de filtrado web. Esto ayudó a los estafadores a mantener una buena reputación, haciéndolos indetectables incluso para herramientas destinadas a proteger los sitios web de los bots.

Los ciberatacantes también emplearon el phishing transparente, que consiste en ataques de adversario-en-el-medio. Esta táctica de estafa robó información confidencial de las víctimas.autenticación multifactorcódigos a través de una página de aspecto similar mientras inicia sesión simultáneamente en la cuenta legítima de Microsoft de la víctima.

Usando la táctica de cuentas de Microsoft con sesión iniciada, los usuarios pensaban que estaban accediendo a un sitio web legítimo, ganando su confianza y bajando su guardia en el proceso.

Al utilizar aplicaciones legítimas en la nube, los atacantes otorgan credibilidad a las víctimas, ayudándoles a confiar en el contenido que proporciona.

Además, una víctima utiliza su cuenta de Microsoft 365 en la que ya ha iniciado sesión al abrir una página de Sway, lo que puede ayudar a persuadirla sobre su legitimidad.Los investigadores de Netskope señalaron.

'Esta no es la primera vez': Microsoft Sway tiene un historial de ataques de phishing.

En abril de 2020, actores malintencionados llevaron a cabo una campaña de phishing similar llamada PerSwaysion, dirigida a credenciales de inicio de sesión de Office 365 utilizando un kit de phishing incluido en una operación de malware como servicio (MaaS).

Investigadores de seguridad de Group-IB descubrieron que la campaña utilizó Microsoft Sway para dirigirse a altos funcionarios y directores de empresas de servicios financieros de pequeño a mediano tamaño, bufetes de abogados y grupos inmobiliarios.

Se obtuvieron más de 156 credenciales comprometiendo sus correos corporativos. Al menos 20 de estas cuentas de phishing pertenecen a ejecutivos de varias empresas en EE. UU., Canadá, Alemania, Hong Kong, Singapur, los Países Bajos y el Reino Unido.

La evidencia indica que los estafadores probablemente utilicen perfiles de LinkedIn para evaluar posibles víctimas.

"Esta táctica reduce la posibilidad de alerta temprana por parte de los compañeros de trabajo actuales de la víctima y aumenta la tasa de éxito de un nuevo ciclo de phishing."Investigadores de Group-IB afirmaron.

La naturaleza basada en imágenes de los códigos QR se aprovecha para lanzar campañas de phishing.

Fake QR code campaigns

Mejorar las medidas y contramedidas de ciberseguridad sigue siendo una de las misiones principales de empresas tecnológicas como Microsoft y organizaciones de software como servicio que ofrecen soluciones de ciberseguridad.generador de códigos QR gratuitoen línea

En medio del desarrollo de medidas de ciberseguridad más estrictas, sin embargo, los actores maliciosos también están fortaleciendo sus campañas de phishing y contramedidas. Se están volviendo más inteligentes al aprovechar las brechas en las aplicaciones legítimas de ciberseguridad en su contra.

Como se demostró con estos ataques de phishing en Sway, la vulnerabilidad radica en las amenazas basadas en imágenes, como los códigos QR. La mayoría de los escáneres de correo electrónico solo estaban calibrados para escanear contenido basado en texto, no URLs dentro de imágenes.

Usar códigos QR para redirigir a las víctimas a sitios web de phishing plantea algunos desafíos para los defensores.

Dado que la URL está incrustada dentro de una imagen, los escáneres de correo electrónico que solo pueden escanear contenido basado en texto pueden ser eludidos.Netskope replicó.

Las empresas necesitan revisar sus políticas de seguridad e intensificar la ciberseguridad.

El avance de las campañas de phishing señala a las organizaciones que revisen sus políticas de ciberseguridad en cuanto a escaneo y filtrado de tráfico web y en la nube. Mejores políticas significan menos posibilidades de que los empleados accedan a sitios web maliciosos.

Al mismo tiempo, se recomienda a los usuarios individuales verificar las URL antes de hacer clic. Aún mejor, escriba directamente la dirección del sitio web en la barra de direcciones del navegador para evitar caer en estafas de phishing con códigos QR.

El phishing basado en códigos QR se ha convertido recientemente en un problema importante y parece poco probable que disminuya. Recientemente, el informe State of Phishing de Cofense reveló que el phishing basado en códigos QR se ha triplicado, lo que demuestra que esta táctica está en aumento y es una preocupación creciente para la seguridad cibernética.La investigación encontró un aumento del 331% en la amenaza activa de códigos QR.informes", "análisis" y "datos" son términos importantes en el campo de la investigación.Max Gannon de Cofense dijo.

El abuso de Microsoft Sway en esta campaña enfatiza aún más que los actores de amenazas tienen una forma fácil y lista para eludir muchos controles de seguridad automatizados: simplemente abusan de un servicio de intercambio confiable.Gannon agregó.