Los investigadores en ciberseguridad están llamando la atención sobre una nueva campaña de phishing (también conocida como quishing) de códigos QR que aprovecha la infraestructura de Microsoft Sway para alojar páginas falsas, lo que pone de relieve una vez más el abuso de ofertas legítimas de la nube con fines maliciosos.
«Al utilizar aplicaciones legítimas en la nube, los atacantes brindan credibilidad a las víctimas, ayudándolas a confiar en el contenido que ofrecen», dijo el investigador de Netskope Threat Labs, Jan Michael Alcantara .
«Además, la víctima utiliza su cuenta de Microsoft 365 en la que ya ha iniciado sesión cuando abre una página de Sway, lo que también puede ayudar a convencerla de su legitimidad. Sway también se puede compartir a través de un enlace (enlace URL o enlace visual) o incrustado en un sitio web mediante un iframe».
Los ataques se han centrado principalmente en usuarios de Asia y América del Norte, siendo los sectores de tecnología, manufactura y finanzas los más buscados.
Microsoft Sway es una herramienta basada en la nube para crear boletines, presentaciones y documentación. Forma parte de la familia de productos Microsoft 365 desde 2015.
La empresa de ciberseguridad afirmó que observó un aumento de 2000 veces en el tráfico a páginas de phishing exclusivas de Microsoft Sway a partir de julio de 2024 con el objetivo final de robar las credenciales de Microsoft 365 de los usuarios. Esto se logra mediante la entrega de códigos QR falsos alojados en Sway que, cuando se escanean, redirigen a los usuarios a sitios web de phishing.
En un intento adicional por evadir los esfuerzos de análisis estático, se ha observado que algunas de estas campañas de ocultación utilizan Cloudflare Turnstile como una forma de ocultar los dominios de los escáneres de URL estáticos.
La actividad también se destaca por aprovechar tácticas de phishing de adversario en el medio (AitM), es decir, phishing transparente , para robar credenciales y códigos de autenticación de dos factores (2FA) utilizando páginas de inicio de sesión similares, mientras que al mismo tiempo intentan iniciar sesión en el servicio.
«El uso de códigos QR para redirigir a las víctimas a sitios web de phishing plantea algunos desafíos a los defensores», dijo Michael Alcantara. «Dado que la URL está incrustada dentro de una imagen, los escáneres de correo electrónico que solo pueden escanear contenido basado en texto pueden ser ignorados».
«Además, cuando un usuario recibe un código QR, puede utilizar otro dispositivo, como su teléfono móvil, para escanearlo. Dado que las medidas de seguridad implementadas en los dispositivos móviles, en particular los teléfonos móviles personales, no suelen ser tan estrictas como las de los ordenadores portátiles y de sobremesa, las víctimas suelen ser más vulnerables a los abusos».
No es la primera vez que los ataques de phishing se aprovechan de Microsoft Sway. En abril de 2020, Group-IB detalló una campaña denominada PerSwaysion que comprometió con éxito las cuentas de correo electrónico corporativas de al menos 156 funcionarios de alto rango en varias empresas con sede en Alemania, el Reino Unido, los Países Bajos, Hong Kong y Singapur utilizando Sway como trampolín para redirigir a las víctimas a sitios de recolección de credenciales.
Este avance se produce en un momento en que las campañas de quishing se están volviendo más sofisticadas a medida que los proveedores de seguridad desarrollan contramedidas para detectar y bloquear dichas amenazas basadas en imágenes.
«En un giro inteligente, los atacantes han comenzado a crear códigos QR utilizando caracteres de texto Unicode en lugar de imágenes», dijo J. Stephen Kowski, director de tecnología de SlashNext . «Esta nueva técnica, que llamamos ‘Phishing de código QR Unicode’, presenta un desafío significativo para las medidas de seguridad convencionales».
Lo que hace que el ataque sea particularmente peligroso es el hecho de que evita por completo las detecciones diseñadas para escanear imágenes sospechosas, dado que están compuestas completamente de caracteres de texto. Además, los códigos QR Unicode se pueden reproducir perfectamente en las pantallas sin ningún problema y se ven notablemente diferentes cuando se ven en texto sin formato, lo que complica aún más los esfuerzos de detección.
Fuente y redacción: thehackernews.com
