Zusammenfassung
Im Juli 2024 verfolgten die Netskope Threat Labs einen 2.000-fachen Anstieg des Traffics auf Phishing-Seiten, die über Microsoft Sway bereitgestellt wurden. Die meisten der untersuchten Seiten zum Abrufen von Anmeldeinformationen verwendeten "Quishing", eine Form des Phishings, bei der QR-Codes verwendet werden, um Benutzer dazu zu verleiten, auf eine bösartige Website zuzugreifen. Die Phishing-Kampagnen zielten auf MS Office-Anmeldeinformationen ab und verwendeten Dokumente, um Benutzer zur Anmeldung zu verleiten. Die Kampagnen richteten sich hauptsächlich an Opfer in Asien und Nordamerika in mehreren Segmenten, angeführt von Technologie, Fertigung und Finanzen.
Angreifer weisen ihre Opfer an, ihre mobilen Geräte zum Scannen des QR-Codes zu verwenden, in der Hoffnung, dass diese mobilen Geräte nicht über die strengen Sicherheitsmaßnahmen verfügen, die normalerweise bei Unternehmen zu finden sind, um einen uneingeschränkten Zugriff auf die Phishing-Website zu gewährleisten. Darüber hinaus verwenden diese QR-Phishing-Kampagnen zwei Techniken aus früheren Beiträgen: die Verwendung von transparentem Phishing und Cloudflare Turnstile. Transparentes Phishing stellt sicher, dass die Opfer auf den genauen Inhalt der legitimen Anmeldeseite zugreifen können, und ermöglicht es ihnen, zusätzliche Sicherheitsmaßnahmen wie die Multi-Faktor-Authentifizierung zu umgehen. In der Zwischenzeit wurde Cloudflare Turnstile verwendet, um die Phishing-Nutzlast vor statischen Inhaltsscannern zu verbergen und so den guten Ruf seiner Domain zu wahren.
Werfen wir einen genaueren Blick auf diese Phishing-Kampagnen:
Microsoft Sway wird missbraucht, um Phishing-Inhalte bereitzustellen
Sway ist eine kostenlose Anwendung innerhalb von Microsoft 365, die Benutzern hilft, Ideen mit einer webbasierten Leinwand zu präsentieren, was bedeutet, dass jeder mit einem Microsoft-Konto Präsentationen kostenlos senden kann. Dieser kostenlose Zugang macht ihn jedoch für Angreifer attraktiv für Missbrauch, wie wir bereits zuvor bei ihrer Neigung zur Nutzung kostenloser Cloud-Anwendungen beobachtet haben.
Durch die Verwendung legitimer Cloud-Anwendungen verleihen Angreifer den Opfern Glaubwürdigkeit und helfen ihnen, den bereitgestellten Inhalten zu vertrauen. Darüber hinaus verwendet ein Opfer sein Microsoft 365-Konto, bei dem es bereits angemeldet ist, wenn es eine Sway-Seite öffnet, was dazu beitragen kann, es ebenfalls von seiner Legitimität zu überzeugen. Sway kann auch entweder über einen Link (URL-Link oder visueller Link) geteilt oder mithilfe eines iFrames in eine Website eingebettet werden.