Masif bir QR kod kimlik avı kampanyası, çevrimiçi sunumlar oluşturmak için bulut tabanlı bir araç olan Microsoft Sway'i, Microsoft 365 kullanıcılarını kimlik bilgilerini teslim etmek için kandırmak için istismar etti.
Saldırılar, Microsoft 365 kimlik bilgilerini çalan kimlik avı sayfalarına ev sahipliği yapan Microsoft Sway'den yararlanan saldırılarda 2.000 kat artış tespit ettikten sonra Temmuz 2024'te Netskope Tehdit Laboratuarları tarafından tespit edildi. Bu dalgalanma, yılın ilk yarısında bildirilen minimal faaliyeti keskin bir şekilde karşılaştırır ve bu kampanyanın büyük ölçeğini gösterir.
Öncelikle Asya ve Kuzey Amerika'daki kullanıcıları hedeflediler, teknoloji, üretim ve finans sektörleri en çok aranan hedeflerdir.
E -postalar, potansiyel kurbanları, Sway.cloud.microsoft alanında barındırılan kimlik avı açılış sayfalarına yönlendirdi, hedefleri diğer kötü amaçlı web sitelerine gönderecek QR kodlarını taramaya teşvik eden sayfalar.
"URL bir görüntünün içine gömüldüğünden, yalnızca metin tabanlı içeriği tarayabilen e-posta tarayıcıları atlanabilir. Ayrıca, bir kullanıcıya bir QR kodu gönderildiğinde, cep telefonları gibi başka bir cihaz kullanabilirler. Kod, "güvenlik araştırmacıları açıkladı.
"Mobil cihazlarda, özellikle kişisel cep telefonlarında uygulanan güvenlik önlemleri genellikle dizüstü bilgisayarlar ve masaüstü bilgisayarlar kadar katı olmadığından, kurbanlar genellikle kötüye kullanıma karşı daha savunmasızdır."
Saldırganlar, kimlik bilgilerini ve çok faktörlü kimlik doğrulama kodlarını çaldıkları ve kurbanları Microsoft hesaplarına imzalamak için kullandıkları şeffaf kimlik avı gibi kampanyalarının etkinliğini daha da artırmak için çeşitli taktikler kullandılar.
Ayrıca, web sitelerini botlardan korumaya yönelik bir araç olan Cloudflare Turnstile'u, iniş sayfalarının kimlik avı içeriğini statik tarayıcılardan gizlemek için kimlik avı alanının iyi itibarını korumaya yardımcı olmaya ve Google Safe Growing gibi web filtreleme hizmetleri tarafından engellenmekten kaçınmak için kullandılar.
Microsoft Sway, beş yıl önce Office 365 giriş kimlik bilgilerini hedefleyen Perswayion Phishing kampanyasında da istismar edildi.
Grup-IB güvenlik araştırmacılarının o sırada açıkladığı gibi, bu saldırılar küçük ve orta ölçekli finansal hizmetler şirketlerinde, hukuk firmalarında ve gayrimenkul gruplarında en az 156 üst düzey kişiyi kandırdı.
Grup-IB, hasat edilen tüm ofis 365 hesaplarının 20'den fazlası ABD, Kanada, Almanya, İngiltere, Hollanda, Hong Kong ve Singapur'daki kuruluşlarda yöneticilere, başkanlara ve yönetici direktörlere ait olduğunu söyledi.
Microsoft Sway, Perswayion Mızrak-Akılış Operasyonunda İstismar
Microsoft 365 anti-phishish özelliği CSS ile atlanabilir
Microsoft: Exchange Online, e -postaları kötü amaçlı yazılım olarak yanlışlıkla etiketliyor
Bilgisayar korsanları PWA uygulamaları aracılığıyla iOS, Android kullanıcılarından bankacılık kredileri çalıyor
Yeni Ngate Android kötü amaçlı yazılım, kredi kartı verilerini çalmak için NFC çipini kullanır
Kaynak: Bleeping Computer