Uma ampla campanha de phishing utilizando códigos QR explorou o Microsoft Sway, uma ferramenta baseada na nuvem para a criação de apresentações online, para hospedar páginas de destino com o objetivo de enganar usuários do Microsoft 365 a entregarem suas credenciais.
Os ataques foram identificados pelos Netskope Threat Labs em julho de 2024, após detectarem um aumento dramático de 2.000 vezes em ataques explorando o Microsoft Sway para hospedar páginas de phishing que roubam credenciais do Microsoft 365.
Esse surto contrasta fortemente com a atividade mínima reportada durante o primeiro semestre do ano, mostrando a grande escala dessa campanha.
Os principais alvos foram usuários na Ásia e na América do Norte, com os setores de tecnologia, manufatura e finanças sendo os mais visados.
Os emails direcionavam as possíveis vítimas para páginas de phishing hospedadas no domínio sway.cloud.microsoft, páginas que encorajavam os alvos a escanear códigos QR que os enviariam para outros sites maliciosos.
Os atacantes frequentemente incentivam as vítimas a escanear códigos QR usando seus dispositivos móveis, que normalmente vêm com medidas de segurança mais fracas, aumentando assim as chances de burlar controles de segurança e permitindo que acessem sites de phishing sem restrições.
"Uma vez que a URL está embutida dentro de uma imagem, scanners de email que só podem verificar conteúdo baseado em texto podem ser burlados. Adicionalmente, quando um usuário recebe um código QR, ele pode usar outro dispositivo, como seu celular, para escanear o código", explicaram os pesquisadores de segurança.
Como as medidas de segurança implementadas em dispositivos móveis, principalmente celulares pessoais, normalmente não são tão rigorosas quanto laptops e desktops, as vítimas então ficam frequentemente mais vulneráveis ao abuso.
Os atacantes empregaram várias táticas para aumentar ainda mais a eficácia de sua campanha, como phishing transparente, onde eles roubavam as credenciais e códigos de autenticação multifator e usavam-nos para fazer login nas contas da Microsoft das vítimas enquanto mostravam a elas a página legítima de login.
Eles também utilizaram o Cloudflare Turnstile, uma ferramenta destinada a proteger sites de bots, para esconder o conteúdo de phishing das páginas de destino de scanners estáticos, ajudando a manter a boa reputação do domínio de phishing e evitando ser bloqueado por serviços de filtragem web como o Google Safe Browsing.
O Microsoft Sway também foi explorado na campanha de phishing PerSwaysion, que visou credenciais de login do Office 365 há cinco anos usando um kit de phishing oferecido em uma operação de malware-as-a-service (MaaS).
Conforme revelado pelos pesquisadores de segurança da Group-IB na época, esses ataques enganaram pelo menos 156 indivíduos de alto escalão em empresas de serviços financeiros, escritórios de advocacia e grupos imobiliários de pequeno e médio porte.
O Group-IB disse que mais de 20 de todas as contas do Office 365 colhidas pertencem a executivos, presidentes e diretores administrativos de organizações nos EUA, Canadá, Alemanha, Reino Unido, Países Baixos, Hong Kong e Singapura.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...