Istraživači su primijetili značajan porast phishing napada usmjerenih na MS Office kredencijale putem Microsoft Swaya u julu 2024., gdje su napadači koristili QR kodove da namame žrtve na zlonamjerne web stranice, koristeći transparentni phishing i Cloudflare Turnstile kako bi izbjegli otkrivanje i zaobišli sigurnosne mjere.
Ove kampanje prvenstveno su ciljale na korisnike u Aziji i Sjevernoj Americi iz različitih industrija, naglašavajući potrebu za povećanom sigurnošću i zaštitom od sofisticiranih taktika phishinga.
Microsoft Sway, besplatna Microsoft 365 aplikacija, iskorištava se od strane napadača za distribuciju phishing sadržaja .
Njegova lakoća pristupa i integracija sa Microsoft nalozima čine ga primamljivom metom za zlonamjerne kampanje, jer može povećati kredibilitet pokušaja krađe identiteta i prevariti žrtve da veruju sadržaju.
Ovo povećanje koincidira s Microsoftovom odlukom da konsoliduje sve svoje usluge u oblaku pod jednom domenom, što može ukazivati na promjenu strategija koje koriste napadači.
Quishing je phishing napad u kojem napadači ugrađuju zlonamjerne URL-ove u QR kodove.
Žrtve su namamljene da skeniraju ove QR kodove, koji ih preusmjeravaju na lažne web stranice dizajnirane da ukradu lične podatke ili zaraze njihove uređaje malicioznim softverom.
Iskoristio je povećanu upotrebu QR kodova tokom pandemije COVID-19 kada su se ljudi navikli da ih skeniraju u različite svrhe.
Phishing kampanje iskorištavaju QR kodove da zaobiđu tradicionalne skenere e-pošte i ciljaju mobilne uređaje, koji često imaju manje stroge sigurnosne mjere.
Google Chrome i QR Code Generator PRO se koriste za kreiranje ovih malicioznih QR kodova, koji preusmjeravaju žrtve na phishing web stranice.
Napadači za krađu identiteta koriste Cloudflare Turnstile kako bi zaštitili svoje zlonamjerne web stranice od alata za statičku analizu koji skrivaju korisne podatke o krađi identiteta, sprječavaju da ih blokiraju usluge web filtriranja i održavaju dobru reputaciju domene.
Phacker-in-the-middle phishing je naprednija tehnika od tradicionalnog phishinga. On ne samo da prikuplja korisničke kredencijale već i pokušava prijaviti žrtvu na legitimnu uslugu, potencijalno zaobilazeći višefaktorsku autentifikaciju, što omogućava napadačima da ukradu osjetljive tokene ili kolačiće koji se mogu koristiti za daljnji neovlašteni pristup.
Prema Netskope-u , Microsoft Sway je postao meta za phishing napade, gdje napadači koriste Cloudflare Turnstile kako bi izbjegli otkrivanje i prikupili kredencijale putem transparentnog phishinga.
Defenderi bi trebali ažurirati svoje sigurnosne kontrole kako bi blokirali novu Microsoft Sway domenu.
Za borbu protiv pokušaja krađe identiteta pomoću domena sway.cloud.microsoft , korisnici bi trebali provjeriti URL-ove i direktno pristupiti kritičnim lokacijama.
Organizacije mogu iskoristiti filtriranje URL-ova, politike zaštite od prijetnji i udaljenu izolaciju pretraživača (RBI) za poboljšanu sigurnost prometa na webu i u oblaku.
Izvor: CyberSecurityNews
