Microsoft Sway e codici QR sfruttati in una campagna di phishing per il furto di credenziali

Una campagna sofisticata, basata sull'abuso di piattaforme legittime e di QR Code inviati via email, ha ingannato utenti Microsoft 365 per rubare credenziali di accesso
di Andrea Bai pubblicata il 27 Agosto 2024, alle 17:31 nel canale AppleMicrosoft 365
Una massiccia campagna di phishing ha recentemente preso di mira gli utenti di Microsoft 365 abusano di Microsoft Sway, uno strumento cloud per la creazione di presentazioni online, ed organizzando un ingegnoso stratagemma che sfrutta l'ormai inevitabile dipendenza dai dispositivi mobile.
La campagna è stata rilevata da Netskope Threat Labs lo scorso mese, quando ha riscontrato una forte impennata di attacchi che facevano uso di Microsoft Sway come piattaforma per ospitare pagine di phishing. Si è trattato di una campagna che ha preso di mira prevalentemente realtà in Asia e Nord America e, più nello specifico, aziende dei settori della tecnologia, della produzione e della finanza.
La mano dietro l'attacco ha fatto uso di codici QR inseriti direttamente nelle e-mail di phishing. Questi codici, una volta scansionati, reindirizzavano le vittime a pagine web ospitate sul dominio sway.cloud.microsoft, così da ammantare il tutto con un'aura di legittimità. Una volta giunti sulle pagine gli utenti erano spinti a scansionare ulteriori codici QR, questa volta puntati verso siti web dannosi.

Dal momento che i QR code presenti nelle email non erano null'altro che semplici immagini, le soluzioni di sicurezza che normalmente si basano sulla scansione del testo delle email non hanno avuto modo di segnalare nulla di anomalo. In più quando si riceve un codice QR via email, si deve necessariamente utilizzare un altro dispositivo per l'operazione di scansione, dispositivo che verosimilmente è uno smartphone, probabilmente privo di soluzioni di sicurezza.
Gli aggressori hanno sfruttato poi la tecnica del "transparent
phishing", in cui le credenziali di accesso ad un account vengono
sottratte mentre viene mostrata la pagina legittima dell'account preso di
mira. l phishing convenzionale prevede infatti che gli aggressori creino
le proprie pagine di phishing che replicano le pagine di accesso legittime
per indurre le vittime a fornire le proprie credenziali di accesso. Si
tratta di una tecnica che ha mostrato la sua efficacia, ma che è comunque
laboriosa in quanto gli aggressori devono mantenere costantemente
aggiornata la propria pagina di phishing per imitare l'aspetto e la
funzionalità del sito Web legittimo. Inoltre perché il meccanismo funzioni
e sia credibile, deve superare eventuali sistemi di autenticazione
multifattoriale.
Il phishing trasparente, o phishing adversary-in-the-middle, è una
forma di phishing relativamente nuova in cui l'aggressore crea un server
che funge da intermediario tra il servizio di autenticazione e la vittima.
Quando le vittime inseriscono le proprie credenziali di accesso e il
codice di autenticazione a più fattori, i server di phishing trasparente
li raccoglieranno e li inoltreranno all'applicazione di destinazione,
effettuando con successo l'accesso della vittima all'app e raccogliendo
credenziali, cookie e token lungo il percorso. Inoltre, a differenza del
phishing tradizionale che copia la pagina di accesso, la pagina di
phishing trasparente mostrerà il contenuto esatto della pagina di accesso
legittima.

Questa tecnica è stata agevolata dall'abuso di Cloudflare Turnstile, uno strumento di sicurezza simile ai sistemi CAPTCHA che Clouflare mette a disposizione per coloro i quali vogliono proteggere il proprio sito web da traffico ostile o dall'azione di bot. In realtà gli aggressori utilizzano questo strumento per un duplice scopo, da un lato incrementare la percezione di legittimità nell'utente, dall'altro evitare che gli scanner di sicurezza identifichino siti o risorse dannose, poiché "nascoste" dietro una risorsa di Cloudflare.
Microsoft Sway era già stato sfruttato diversi anni fa per colpire account Office 365, tra l'altro riuscendo a compromettere oltre 150 profili di alto livello in vari settori, incluse figure dirigenziali di diverse realtà in tutto il mondo.
0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".