Microsoft Sway e codici QR sfruttati in una campagna di phishing per il furto di credenziali

Microsoft Sway e codici QR sfruttati in una campagna di phishing per il furto di credenziali

Una campagna sofisticata, basata sull'abuso di piattaforme legittime e di QR Code inviati via email, ha ingannato utenti Microsoft 365 per rubare credenziali di accesso

di pubblicata il , alle 17:31 nel canale Apple
Microsoft 365
 

Una massiccia campagna di phishing ha recentemente preso di mira gli utenti di Microsoft 365 abusano di Microsoft Sway, uno strumento cloud per la creazione di presentazioni online, ed organizzando un ingegnoso stratagemma che sfrutta l'ormai inevitabile dipendenza dai dispositivi mobile.

La campagna è stata rilevata da Netskope Threat Labs lo scorso mese, quando ha riscontrato una forte impennata di attacchi che facevano uso di Microsoft Sway come piattaforma per ospitare pagine di phishing. Si è trattato di una campagna che ha preso di mira prevalentemente realtà in Asia e Nord America e, più nello specifico, aziende dei settori della tecnologia, della produzione e della finanza.

La mano dietro l'attacco ha fatto uso di codici QR inseriti direttamente nelle e-mail di phishing. Questi codici, una volta scansionati, reindirizzavano le vittime a pagine web ospitate sul dominio sway.cloud.microsoft, così da ammantare il tutto con un'aura di legittimità. Una volta giunti sulle pagine gli utenti erano spinti a scansionare ulteriori codici QR, questa volta puntati verso siti web dannosi.

Dal momento che i QR code presenti nelle email non erano null'altro che semplici immagini, le soluzioni di sicurezza che normalmente si basano sulla scansione del testo delle email non hanno avuto modo di segnalare nulla di anomalo. In più quando si riceve un codice QR via email, si deve necessariamente utilizzare un altro dispositivo per l'operazione di scansione, dispositivo che verosimilmente è uno smartphone, probabilmente privo di soluzioni di sicurezza.

Gli aggressori hanno sfruttato poi la tecnica del "transparent phishing", in cui le credenziali di accesso ad un account vengono sottratte mentre viene mostrata la pagina legittima dell'account preso di mira. l phishing convenzionale prevede infatti che gli aggressori creino le proprie pagine di phishing che replicano le pagine di accesso legittime per indurre le vittime a fornire le proprie credenziali di accesso. Si tratta di una tecnica che ha mostrato la sua efficacia, ma che è comunque laboriosa in quanto gli aggressori devono mantenere costantemente aggiornata la propria pagina di phishing per imitare l'aspetto e la funzionalità del sito Web legittimo. Inoltre perché il meccanismo funzioni e sia credibile, deve superare eventuali sistemi di autenticazione multifattoriale.

Il phishing trasparente, o phishing adversary-in-the-middle, è una forma di phishing relativamente nuova in cui l'aggressore crea un server che funge da intermediario tra il servizio di autenticazione e la vittima. Quando le vittime inseriscono le proprie credenziali di accesso e il codice di autenticazione a più fattori, i server di phishing trasparente li raccoglieranno e li inoltreranno all'applicazione di destinazione, effettuando con successo l'accesso della vittima all'app e raccogliendo credenziali, cookie e token lungo il percorso. Inoltre, a differenza del phishing tradizionale che copia la pagina di accesso, la pagina di phishing trasparente mostrerà il contenuto esatto della pagina di accesso legittima.

Questa tecnica è stata agevolata dall'abuso di Cloudflare Turnstile, uno strumento di sicurezza simile ai sistemi CAPTCHA che Clouflare mette a disposizione per coloro i quali vogliono proteggere il proprio sito web da traffico ostile o dall'azione di bot. In realtà gli aggressori utilizzano questo strumento per un duplice scopo, da un lato incrementare la percezione di legittimità nell'utente, dall'altro evitare che gli scanner di sicurezza identifichino siti o risorse dannose, poiché "nascoste" dietro una risorsa di Cloudflare.

Microsoft Sway era già stato sfruttato diversi anni fa per colpire account Office 365, tra l'altro riuscendo a compromettere oltre 150 profili di alto livello in vari settori, incluse figure dirigenziali di diverse realtà in tutto il mondo.

0 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^