Cybersecurityonderzoekers vestigen de aandacht op een nieuwe QR-code phishing (ook wel quishing genoemd) campagne die gebruikmaakt van de infrastructuur van Microsoft Sway om neppagina’s te hosten. Dit onderstreept opnieuw het misbruik van legitieme clouddiensten voor kwaadaardige doeleinden.
“Door legitieme cloudapplicaties te gebruiken, geven aanvallers slachtoffers geloofwaardigheid, waardoor ze de content die ze aanbieden kunnen vertrouwen”, aldus Jan Michael Alcantara, onderzoeker bij Netskope Threat Labs.
“Bovendien gebruikt een slachtoffer zijn Microsoft 365-account waarop hij al is ingelogd wanneer hij een Sway-pagina opent, wat hem ook kan overtuigen van de legitimiteit ervan. Sway kan ook worden gedeeld via een link (URL-link of visuele link) of worden ingesloten op een website met behulp van een iframe.”
De aanvallen waren vooral gericht op gebruikers in Azië en Noord-Amerika, waarbij de sectoren technologie, productie en financiën het populairst waren.
Microsoft Sway is een cloudgebaseerde tool voor het maken van nieuwsbrieven, presentaties en documentatie. Het maakt sinds 2015 deel uit van de Microsoft 365-productfamilie.
Het cybersecuritybedrijf zei dat het vanaf juli 2024 een 2000-voudige toename in verkeer naar unieke Microsoft Sway-phishingpagina’s zag met als uiteindelijk doel de Microsoft 365-referenties van gebruikers te stelen. Dit wordt bereikt door valse QR-codes te serveren die op Sway worden gehost en die, wanneer ze worden gescand, de gebruikers omleiden naar phishingwebsites.
In een verdere poging om statische analyse te omzeilen, is waargenomen dat sommige van deze quishing-campagnes Cloudflare Turnstile gebruiken om de domeinen te verbergen voor statische URL-scanners.
De activiteit staat ook bekend om het gebruik van ‘adversary-in-the-middle’-phishingtactieken (AitM), oftewel transparante phishing, waarbij inloggegevens en codes voor tweefactorauthenticatie (2FA) worden gestolen met behulp van vergelijkbare inlogpagina’s, terwijl tegelijkertijd wordt geprobeerd het slachtoffer in te loggen op de service.
“Het gebruik van QR-codes om slachtoffers om te leiden naar phishingwebsites brengt enkele uitdagingen met zich mee voor verdedigers”, aldus Michael Alcantara. “Aangezien de URL in een afbeelding is ingebed, kunnen e-mailscanners die alleen tekstgebaseerde content kunnen scannen, worden omzeild.”
“Bovendien kan een gebruiker, wanneer hij een QR-code krijgt toegestuurd, een ander apparaat gebruiken, zoals zijn mobiele telefoon, om de code te scannen. Omdat de beveiligingsmaatregelen die op mobiele apparaten worden geïmplementeerd, met name persoonlijke mobiele telefoons, doorgaans niet zo streng zijn als op laptops en desktops, zijn slachtoffers vaak kwetsbaarder voor misbruik.”
Dit is niet de eerste keer dat phishingaanvallen Microsoft Sway misbruiken. In april 2020 beschreef Group-IB een campagne genaamd PerSwaysion die met succes de zakelijke e-mailaccounts van ten minste 156 hoge officieren bij verschillende bedrijven in Duitsland, het VK, Nederland, Hongkong en Singapore compromitteerde door Sway te gebruiken als springplank om slachtoffers om te leiden naar sites voor het verzamelen van inloggegevens.
Deze ontwikkeling vindt plaats op een moment dat beveiligingsbedrijven steeds geavanceerdere quishing-campagnes ontwikkelen om dit soort op afbeeldingen gebaseerde bedreigingen te detecteren en blokkeren.
“In een slimme wending zijn aanvallers nu begonnen met het maken van QR-codes met behulp van Unicode-teksttekens in plaats van afbeeldingen”, aldus SlashNext CTO J. Stephen Kowski. “Deze nieuwe techniek, die we ‘Unicode QR Code Phishing’ noemen, vormt een aanzienlijke uitdaging voor conventionele beveiligingsmaatregelen.”
Wat de aanval bijzonder gevaarlijk maakt, is het feit dat het detecties die zijn ontworpen om te scannen op verdachte afbeeldingen volledig omzeilt, aangezien deze volledig uit teksttekens bestaan. Bovendien kunnen de Unicode QR-codes perfect worden weergegeven op schermen zonder enig probleem en zien ze er duidelijk anders uit als ze in platte tekst worden bekeken, wat de detectie-inspanningen nog verder compliceert.