Résumé
En juillet 2024, Netskope Threat Labs a constaté que le trafic vers les pages d'hameçonnage diffusées par l'intermédiaire de Microsoft Sway avait été multiplié par 2 000. La majorité des pages de saisie d'informations d'identification étudiées utilisaient le "Quishing", une forme d'hameçonnage qui utilise un code QR pour inciter les utilisateurs à accéder à un site web malveillant. Les campagnes de phishing ciblaient les identifiants MS Office, en utilisant des documents pour inciter les utilisateurs à se connecter. Les campagnes ont ciblé des victimes principalement en Asie et en Amérique du Nord dans de multiples segments, notamment la technologie, l'industrie manufacturière et la finance.
Les attaquants demandent à leurs victimes d'utiliser leur périphérique mobile pour scanner le code QR, dans l'espoir que ces périphériques mobiles ne disposent pas des mesures de sécurité rigoureuses que l'on trouve généralement sur les périphériques d'entreprise, ce qui garantit un accès illimité au site d'hameçonnage. En outre, ces campagnes de QR phishing utilisent deux techniques évoquées dans des articles précédents : l'utilisation du phishing transparent et du Turnstile de Cloudflare. Le phishing transparent garantit que les victimes accèdent au contenu exact de la page de connexion légitime et peut leur permettre de contourner des mesures de sécurité supplémentaires telles que l'authentification multifactorielle. Pendant ce temps, Cloudflare Turnstile a été utilisé pour cacher la charge utile du phishing aux scanners de contenu statique, préservant ainsi la bonne réputation de son domaine.
Examinons de plus près ces campagnes de phishing :
Microsoft Sway abusé pour servir du contenu de phishing
Sway est une application gratuite de Microsoft 365 qui aide les utilisateurs à présenter des idées à l'aide d'un canevas basé sur le web, ce qui signifie que toute personne disposant d'un compte Microsoft peut envoyer des présentations sans frais. Cet accès gratuit attire toutefois les attaquants, comme nous l'avons observé précédemment à propos de leur propension à utiliser des applications gratuites dans le nuage.
En utilisant des applications en nuage légitimes, les attaquants donnent de la crédibilité aux victimes, en les aidant à faire confiance au contenu qu'ils diffusent. En outre, si une victime utilise son compte Microsoft 365 auquel elle est déjà connectée lorsqu'elle ouvre une page Sway, cela peut également contribuer à la persuader de sa légitimité. Sway peut également être partagé par le biais d'un lien (lien URL ou lien visuel) ou intégré à un site web à l'aide d'un iframe.