Эксперты: Фишинг с использованием QR-кодов Microsoft нацелен на учетные данные пользователей.

By: Fatima P.Last updated:October 04, 2024

Эксперты по кибербезопасности обнаружили новую кампанию по рыбалке с использованием QR-кодов, также известную как QR-фишинг."quishing" - "давить"использует Microsoft Sway для размещения фальшивых посадочных страниц и крадет учетные данные, коды многократной аутентификации (MFA) и файлы cookie.

Sway - это бесплатное облачное приложение для цифрового рассказа, запущенное в 2015 году в составе семьи продуктов Microsoft 365. Оно позволяет пользователям создавать и делиться интерактивными дизайнами для отчетов, личных историй, презентаций, документов и многого другого.

Лаборатория угроз Netskope, фирма по кибербезопасности, впервые зафиксировала мошенническую атаку quishing в июле 2024 года. Компания обнаружила увеличение атак киберпреступников на Sway в 2000 раз, используя целый ряд тактик для обхода кибербезопасных решений Microsoft.

Эти штурмы кибератак были направлены в основном на технологические, производственные и финансовые отрасли, в основном в Азии и Северной Америке.

Содержание

    1. Кампании по рыбной ловле с использованием QR-кода Microsoft начались с электронных писем, подтверждает Neskope.
    2. Фишинговые кампании с использованием QR-кодов воспользовались Cloudflare Turnstile для избежания обнаружения.
    3. «Это не первый раз»: Microsoft Sway имеет историю фишинговых атак.
    4. Изображения QR-кодов используются для запуска фишинговых кампаний.
    5. Компании должны пересмотреть свои политики безопасности и усилить кибербезопасность.

Кампании по рыбной ловле с использованием QR-кодов от Microsoft начались с электронных писем, Neskope подтверждает.

Microsoft QR code phishing

Исследователи обнаружили, что электронные письма, отправленные пользователям Sway, перенаправлялись на лендинги для фишинга, размещенные на доменах *.s3.us-west-2.amazonaws.com.sway.cloud.microsoftДомен. Эти страницы для фишинга показывали фальшивые страницы входа в аккаунт Google и Apple, а также банковские страницы для перехвата учетных данных.Мошенничество с QR-кодом, которые пользователи были призваны сканировать, чтобы перейти на другие вредоносные веб-страницы.

Поскольку URL встроен в изображение, сканеры электронной почты, способные сканировать только текстовый контент, могут быть обойдены. Кроме того, когда пользователю отправляется QR-код, он может использовать другое устройство, например мобильный телефон, для сканирования кода.Исследователи Netskope наблюдали.

Подсказывание пользователям использовать свои мобильные телефоны для сканирования этих QR-кодов - это распространенная стратегия мошенничества, поскольку у большинства телефонов слабые меры безопасности.

Злонамеренные действующие лица скорее всего обойдут средства безопасности против фишинга на смартфонах, поскольку они часто не оснащены антивирусным программным обеспечением или решениями для обнаружения и реагирования на конечных устройствах, которые обычно присутствуют только на ПК.

Поскольку меры безопасности, реализованные на мобильных устройствах, особенно на личных мобильных телефонах, обычно не так строги, как на ноутбуках и настольных компьютерах, жертвы часто более уязвимы для злоупотреблений.исследователи добавили

QR-коды кампании phishing воспользовались Cloudflare Turnstile для избежания обнаружения.

QR code quishing

Что делает эти квишинговые кампании намного эффективнее, так это использование надежного веб-программного обеспечения для увеличения доверия и избежания обнаружения их мошеннических тактик.

Исследователи подтвердили, что эти мошенники использовали Cloudflare Turnstile для скрытия своих целевых страниц от статических сканеров URL и веб-фильтров. Это помогло мошенникам поддерживать хорошую репутацию, делая их недоступными даже для инструментов, предназначенных для защиты веб-сайтов от ботов.

Кибератакующие также использовали прозрачный фишинг, который включает в себя атаки типа "адверсар-в-середине". Этот метод мошенничества позволял воровать конфиденциальные данные пользователя.Многофакторная аутентификацияКоды через похожую страницу, одновременно входя в легитимную учетную запись жертвы в Microsoft.

Используя тактику входа в учетные записи Microsoft, пользователи думали, что они получают доступ к законным веб-сайтам, завоевывая их доверие и снижая бдительность в процессе.

Используя законные облачные приложения, злоумышленники предоставляют доверие жертвам, помогая им доверять предоставляемому им контенту.

Кроме того, жертва использует свою учетную запись Microsoft 365, в которую она уже вошла, когда открывает страницу Sway, что может убедить ее в ее законности.Исследователи Netskope отметили.

Это не первый случай: Microsoft Sway имеет историю фишинговых атак.

В апреле 2020 года злоумышленники провели аналогичную фишинговую кампанию под названием PerSwaysion, нацеливаясь на учетные данные для входа в Office 365 с использованием набора для фишинга, включенного в операцию по предоставлению вредоносного программного обеспечения как услуги (MaaS).

Исследователи безопасности Group-IB обнаружили, что кампания использовала Microsoft Sway для нападения на высокопоставленных офицеров и директоров небольших и средних финансовых компаний, юридических фирм и групп по недвижимости.

Было украдено более 156 учетных данных, взломав корпоративные электронные почты. По крайней мере 20 из этих украденных аккаунтов принадлежат руководителям различных фирм в США, Канаде, Германии, Гонконге, Сингапуре, Нидерландах и Великобритании.

Доказательства указывают на то, что мошенники, вероятно, используют профили LinkedIn для оценки потенциальных жертв.

Тактика снижает возможность раннего предупреждения со стороны сотрудников текущей жертвы и увеличивает успешность нового цикла фишинга.Исследователи Group-IB сказали.

Изображения QR-кодов используются для запуска фишинговых кампаний.

Fake QR code campaigns

Повышение мер по кибербезопасности и контрмер остается одной из основных миссий технологических компаний, таких как Microsoft, и организаций, предлагающих программное обеспечение как услугу.бесплатный генератор QR-кодовонлайн.

В условиях внедрения более строгих мер безопасности в сфере кибербезопасности злоумышленники также усиливают свои кампании фишинга и контрмеры. Они становятся умнее, используя уязвимости в легитимных приложениях кибербезопасности против самих себя.

Как показано в этих фишинговых атаках на Sway, уязвимость заключается в угрозах на основе изображений, таких как QR-коды. Большинство сканеров электронной почты были настроены только на сканирование текстового контента, а не URL-адресов в изображениях.

Использование QR-кодов для перенаправления жертв на фишинговые веб-сайты создает некоторые проблемы для защитников.

Поскольку URL встроен в изображение, сканеры электронной почты, которые могут сканировать только текстовое содержимое, могут быть обойдены.Netskope возразил.

Компании должны пересмотреть свои политики безопасности и усилить кибербезопасность.

Продвижение кампаний по фишингу сигнализирует организациям о необходимости проверить свои политики кибербезопасности в области сканирования и фильтрации веб- и облачного трафика. Более эффективные политики означают меньше шансов того, что сотрудники получат доступ к вредоносным веб-сайтам.

В то же время отдельным пользователям рекомендуется проверять URL-адреса перед нажатием. Лучше всего наберите адрес веб-сайта непосредственно в адресной строке браузера, чтобы избежать попадания в ловушку мошенничества с помощью QR-кодов.

QR-коды стали популярным методом для фишинга и, кажется, это направление только усилится. Недавно компания Cofense предупредила о новой атаке, направленной на пользователей Office 365, использующих QR-коды для аутентификации."Исследование показало увеличение угроз активных QR-кодов на 331%Отчеты", "документы"Макс Ганнон из Cofense сказал.

Злоупотребление Microsoft Sway в этой кампании дополнительно подчеркивает, что злоумышленники имеют готовый и простой способ обойти множество автоматизированных средств безопасности - просто злоупотребить доверенным сервисом обмена.Гэннон добавил.