Sumário
Em julho de 2024, o Netskope Threat Labs rastreou um aumento de 2.000 vezes no tráfego para páginas de phishing entregues por meio do Microsoft Sway. A maioria das páginas de captura de credenciais investigadas usou o “Quishing”, uma forma de phishing que usa código QR para induzir os usuários a acessar um site malicioso. As campanhas de phishing tinham como alvo as credenciais do MS Office, usando documentos para induzir os usuários a fazer login. As campanhas têm como alvo vítimas principalmente na Ásia e na América do Norte em vários segmentos liderados por tecnologia, manufatura e finanças.
Os atacantes instruem suas vítimas a usarem seus dispositivos móveis para escanear o código QR na esperança de que esses dispositivos móveis não tenham as medidas de segurança rigorosas normalmente encontradas nos dispositivos emitidos pela empresa, garantindo acesso irrestrito ao site de phishing. Além disso, essas campanhas de phishing QR empregam duas técnicas de postagens anteriores: o uso de phishing transparente e o Cloudflare Turnstile. O phishing transparente garante que as vítimas acessem o conteúdo exato da página de login legítima e pode permitir que elas ignorem medidas de segurança adicionais, como autenticação multifatorial. Enquanto isso, o Cloudflare Turnstile foi usado para ocultar a carga de phishing dos scanners de conteúdo estático, preservando a boa reputação de seu domínio.
Vamos examinar mais de perto essas campanhas de phishing:
Microsoft Sway é abusado para veicular conteúdo de phishing
O Sway é um aplicativo gratuito no Microsoft 365 que ajuda os usuários a apresentar ideias com uma tela baseada na web, o que significa que qualquer pessoa com uma conta da Microsoft pode enviar apresentações sem custo. Esse acesso gratuito, no entanto, o torna atraente para os atacantes, como observamos anteriormente sobre sua propensão a usar aplicativos em nuvem gratuitos.
Ao usar aplicativos legítimos na nuvem, os atacantes fornecem credibilidade às vítimas, ajudando-as a confiar no conteúdo que elas veiculam. Além disso, a vítima usa sua conta Microsoft 365 na qual já está conectada quando abre uma página do Sway, o que também pode ajudar a persuadi-la sobre sua legitimidade. O Sway também pode ser compartilhado por meio de um link (link de URL ou link visual) ou incorporado em um site usando um iframe.