新的二维码网络钓鱼活动利用 Microsoft Sway 窃取凭据
网络安全研究人员正在提请注意一种新的 QR 码网络钓鱼(又名 quishing)活动,该活动利用 Microsoft Sway 基础设施托管虚假页面,再次凸显了出于恶意目的滥用合法云产品的情况。“通过使用合法的云应用程序,攻击者为受害者提供了可信度,帮助他们信任它所提供的内容,”Netskope 威胁实验室研究员 Jan Michael Alcantara 说。“此外,受害者在打开 Sway 页面时使用他们已经登录的 Microsoft 365 帐户,这也可以帮助说服他们了解其合法性。Sway 还可以通过链接(URL 链接或视觉链接)共享,或使用 iframe 嵌入到网站上。这些攻击主要针对亚洲和北美的用户,其中科技、制造和金融行业是最受欢迎的行业。Microsoft Sway 是一种基于云的工具,用于创建新闻稿、演示文稿和文档。自 365 年以来,它一直是 Microsoft 2015 系列产品的一部分。这家网络安全公司表示,从 2024 年 7 月开始,它观察到独特的 Microsoft Sway 网络钓鱼页面的流量增加了 2024 倍,最终目标是窃取用户的 Microsoft 365 凭据。这是通过提供 Sway 上托管的虚假 QR 码来实现的,扫描后,会将用户重定向到网络钓鱼网站。为了进一步逃避静态分析工作,已经观察到其中一些压制活动使用 Cloudflare Turnstile 作为向静态 URL 扫描器隐藏域的一种方式。该活动还以利用中间对手 (AitM) 网络钓鱼策略(即透明网络钓鱼)来使用相似的登录页面来窃取凭据和双因素身份验证 (2FA) 代码而著称,同时尝试将受害者登录到服务中。“使用二维码将受害者重定向到网络钓鱼网站给防御者带来了一些挑战,”Michael Alcantara 说。“由于 URL 嵌入在图像中,因此只能扫描基于文本的内容的电子邮件扫描仪可能会被绕过。”“此外,当用户收到二维码时,他们可能会使用其他设备(例如手机)来扫描二维码。由于在移动设备(尤其是个人手机)上实施的安全措施通常不如笔记本电脑和台式机严格,因此受害者通常更容易受到滥用。这不是网络钓鱼攻击第一次滥用 Microsoft Sway。2020 年 4 月,Group-IB 详细介绍了一项名为 PerSwaysion 的活动,该活动通过使用 Sway 作为跳板,将受害者重定向到凭据收集网站,成功地入侵了德国、英国、荷兰、香港和新加坡多家公司的至少 156 名高级官员的企业电子邮件帐户。随着安全供应商制定对策来检测和阻止此类基于图像的威胁,压制活动变得越来越复杂。“巧妙的是,攻击者现在已经开始使用 Unicode 文本字符而不是图像制作二维码,”SlashNext 首席技术官 J. Stephen Kowski 说。“这种我们称之为’Unicode QR 码网络钓鱼’的新技术对传统的安全措施提出了重大挑战。”使该攻击特别危险的是,它完全绕过了旨在扫描可疑图像的检测,因为它们完全由文本字符组成。此外,Unicode QR 码可以完美地呈现在屏幕上,没有任何问题,并且在以纯文本形式查看时看起来明显不同,这进一步使检测工作复杂化。
页:
[1]