В июле 2024 года было обнаружено значительное увеличение трафика на фишинговые страницы, распространяемые через Microsoft Sway, в основном в Азии и Северной Америке. В основном использовалась техника квишинга, которая включает в себя использование QR-кода для обмана пользователей и перенаправления их на вредоносные сайты.
Microsoft Sway
Злоумышленники призывали жертв использовать мобильные устройства для сканирования QR-кода, так как на таких устройствах меньше мер безопасности, и это обеспечивало им безопасный доступ к фишинговым сайтам. Дополнительно использовались техники прозрачного фишинга и Cloudflare Turnstile для обхода дополнительных мер безопасности и сохранения репутации домена.
Microsoft Sway - это бесплатное приложение в Microsoft 365, используемое для создания и отправки презентаций. Злоумышленники используют это приложение, так как позволяет им создавать доверие у потенциальных жертв, используя легитимные «облачные» приложения. Жертвы, открывающие страницу Sway, используют свою учетную запись Microsoft 365, что также усиливает впечатление о легитимности страницы. Фишинговые страницы Sway могут быть распространены через ссылки или встроены на веб-сайты.
Фишинг с использованием QR-кодов, известный как квишинг, широко использовался в этих кампаниях. QR-коды стали популярными в повседневной жизни, но злоумышленники усвоили эту привычку, чтобы перенаправлять пользователей на вредоносные сайты. Использование QR-кодов создает трудности для защиты, так как URL-адреса встраиваются в изображение и обходят сканеры электронной почты, работающие только с текстовым содержимым. Кроме того, пользователи могут сканировать QR-коды на своих мобильных телефонах, где меры безопасности обычно менее строгие.
Техника Cloudflare Turnstile использовалась для сокрытия фишинговой полезной нагрузки от статических сканеров. Это позволяло избегать блокировки домена и URL со стороны веб-фильтров. В результате фишинговые страницы, использовавшие Cloudflare Turnstile, были труднее обнаружить и заблокировать.
Все пользователи Microsoft Sway должны быть осторожны при входе в систему, особенно после объединения всех служб Microsoft 365 в единый домен. Использование мобильных устройств для сканирования QR-кодов также представляет определенные риски и требует повышенной осторожности. Организации и пользователи должны принимать соответствующие меры безопасности для защиты своих данных и учетных записей от фишинговых атак.
Indicators of Compromise
Domains
- ffnthost365.cfd
- gdu.msofficeopt.nl
- login.msofficeopt.nl
- msntntion0.cfd
- nedttis365.xyz
URLs
- https://sway.cloud.microsoft/05LIlwBFn0qWED6i?ref=Link
- https://sway.cloud.microsoft/aETxkd7BuvhId4sF?ref=Link&loc=play
- https://sway.cloud.microsoft/AnGIKbMo1Bq8iTGH?ref=Link
- https://sway.cloud.microsoft/CxF8QqYpUv9r0Vx0?ref=Link&loc=play
- https://sway.cloud.microsoft/DmxuQNgtqLKxUmHE?ref=Link
- https://sway.cloud.microsoft/itPRuwnKjkATyKUR?ref=Link
- https://sway.cloud.microsoft/IUbqaHWqUH6C5eAW?ref=Link
- https://sway.cloud.microsoft/IzK05FqeCrAXEVo7?ref=Link
- https://sway.cloud.microsoft/lAsxBmdzUG5VXXav?ref=Link
- https://sway.cloud.microsoft/ntDdZK6JoKgvMqNU?ref=Link
- https://sway.cloud.microsoft/PkAKyuZ7HsxLhVA5?ref=Link
- https://sway.cloud.microsoft/RcSS1NyUsTAQ4GbQ?ref=Link&loc=play
- https://sway.cloud.microsoft/T0yF99kFP1KAoquD?ref=Link&loc=mysways
- https://sway.cloud.microsoft/VB7PWySCwoKy4Mvc
- https://sway.cloud.microsoft/vL0rhxc8x4I16Lwh?ref=Link
