Une campagne massive de phishing par code QR a abusé de Microsoft Sway, un outil basé sur le cloud pour créer des présentations en ligne, pour héberger des pages de destination afin d’inciter les utilisateurs de Microsoft 365 à remettre leurs informations d’identification.
Les attaques ont été repérées par Netskope Threat Labs en juillet 2024 après avoir détecté une multiplication spectaculaire par 2 000 des attaques exploitant Microsoft Sway pour héberger des pages de phishing qui volent des informations d’identification Microsoft 365. Cette poussée contraste fortement avec l’activité minimale signalée au cours du premier semestre de l’année, montrant l’ampleur de cette campagne.
Ils ciblaient principalement les utilisateurs d’Asie et d’Amérique du Nord, les secteurs de la technologie, de la fabrication et de la finance étant les cibles les plus recherchées.
Les courriels redirigeaient les victimes potentielles vers des pages de destination de phishing hébergées sur le sway.nuage.domaine microsoft, pages qui encourageaient les cibles à scanner des codes QR qui les enverraient vers d’autres sites Web malveillants.
Les attaquants encouragent souvent les victimes à scanner les codes QR à l’aide de leurs appareils mobiles, qui sont généralement assortis de mesures de sécurité plus faibles, augmentant ainsi les chances de contourner les contrôles de sécurité et leur permettant d’accéder aux sites de phishing sans restrictions.
« Étant donné que l’URL est intégrée à l’intérieur d’une image, les scanners d’e-mails qui ne peuvent analyser que du contenu textuel peuvent être contournés. De plus, lorsqu’un utilisateur reçoit un code QR, il peut utiliser un autre appareil, tel que son téléphone portable, pour scanner le code », ont expliqué les chercheurs en sécurité.
« Étant donné que les mesures de sécurité mises en œuvre sur les appareils mobiles, en particulier les téléphones portables personnels, ne sont généralement pas aussi strictes que les ordinateurs portables et de bureau, les victimes sont alors souvent plus vulnérables aux abus. »
Les attaquants ont utilisé plusieurs tactiques pour renforcer l’efficacité de leur campagne, comme le phishing transparent, où ils ont volé les informations d’identification et les codes d’authentification multifacteur et les ont utilisés pour connecter les victimes à leurs comptes Microsoft tout en leur montrant la page de connexion légitime.
Ils ont également utilisé Cloudflare Turnstile, un outil destiné à protéger les sites Web des robots, pour masquer le contenu de phishing de leurs pages de destination des scanners statiques, aidant à maintenir la bonne réputation du domaine de phishing et à éviter d’être bloqué par des services de filtrage Web tels que Google Safe Browsing.
Microsoft Sway a également été victime d’abus dans la campagne de phishing PerSwaysion, qui ciblait les identifiants de connexion Office 365 il y a cinq ans à l’aide d’un kit de phishing proposé dans une opération MAAS (malware-as-a-service).
Comme les chercheurs en sécurité de Group-IB l’ont révélé à l’époque, ces attaques ont trompé au moins 156 personnes de haut rang dans de petites et moyennes sociétés de services financiers, des cabinets d’avocats et des groupes immobiliers.
Group-IB a déclaré que plus de 20 de tous les comptes Office 365 récoltés appartiennent à des dirigeants, présidents et directeurs généraux d’organisations aux États-Unis, au Canada, en Allemagne, au Royaume-Uni, aux Pays-Bas, à Hong Kong et à Singapour.