Pesquisadores de segurança cibernética estão chamando a atenção para uma nova campanha de phishing de código QR (também conhecida como quishing) que utiliza a infraestrutura do Microsoft Sway para hospedar páginas falsas, destacando mais uma vez o abuso de ofertas legítimas de nuvem para fins maliciosos.
“Ao usar aplicativos de nuvem legítimos, os invasores dão credibilidade às vítimas, ajudando-as a confiar no conteúdo veiculado”, disse Jan Michael Alcantara, pesquisador do Netskope Menace Labs.
“Além disso, uma vítima usa sua conta do Microsoft 365 na qual já está logada quando abre uma página do Sway, o que pode ajudar a persuadi-la sobre sua legitimidade também. O Sway também pode ser compartilhado por meio de um hyperlink (hyperlink de URL ou hyperlink visible) ou incorporado em um website usando um iframe.”
Os ataques atingiram principalmente usuários na Ásia e na América do Norte, sendo os setores de tecnologia, manufatura e finanças os mais procurados.
O Microsoft Sway é uma ferramenta baseada em nuvem para criar boletins informativos, apresentações e documentação. Ele faz parte da família de produtos Microsoft 365 desde 2015.
A empresa de segurança cibernética disse que observou um aumento de 2.000 vezes no tráfego para páginas de phishing exclusivas do Microsoft Sway a partir de julho de 2024 com o objetivo ultimate de roubar as credenciais do Microsoft 365 dos usuários. Isso é obtido servindo códigos QR falsos hospedados no Sway que, quando escaneados, redirecionam os usuários para websites de phishing.
Em uma tentativa adicional de evitar esforços de análise estática, algumas dessas campanhas de silenciamento foram observadas usando o Cloudflare Turnstile como uma forma de ocultar os domínios de scanners de URL estáticos.
A atividade também é notável por alavancar táticas de phishing de adversário no meio (AitM) – ou seja, phishing transparente – para desviar credenciais e códigos de autenticação de dois fatores (2FA) usando páginas de login semelhantes, ao mesmo tempo em que tenta fazer o login da vítima no serviço.
“Usar códigos QR para redirecionar vítimas para websites de phishing apresenta alguns desafios para os defensores”, disse Michael Alcantara. “Como a URL é incorporada dentro de uma imagem, os scanners de e-mail que só podem escanear conteúdo baseado em texto podem ser ignorados.”
“Além disso, quando um usuário recebe um código QR, ele pode usar outro dispositivo, como seu telefone celular, para escanear o código. Como as medidas de segurança implementadas em dispositivos móveis, particularmente celulares pessoais, normalmente não são tão rigorosas quanto laptops e desktops, as vítimas geralmente ficam mais vulneráveis a abusos.”
Esta não é a primeira vez que ataques de phishing abusam do Microsoft Sway. Em abril de 2020, o Group-IB detalhou uma campanha chamada PerSwaysion que comprometeu com sucesso contas de e-mail corporativo de pelo menos 156 oficiais de alto escalão em várias empresas sediadas na Alemanha, Reino Unido, Holanda, Hong Kong e Cingapura usando o Sway como trampolim para redirecionar vítimas para websites de coleta de credenciais.
O desenvolvimento ocorre em um momento em que as campanhas de extinção estão se tornando mais sofisticadas, à medida que os fornecedores de segurança desenvolvem contramedidas para detectar e bloquear essas ameaças baseadas em imagens.
“Em uma reviravolta inteligente, os invasores agora começaram a criar códigos QR usando caracteres de texto Unicode em vez de imagens”, disse o CTO da SlashNext, J. Stephen Kowski. “Essa nova técnica, que estamos chamando de 'Unicode QR Code Phishing', apresenta um desafio significativo para as medidas de segurança convencionais.”
O que torna o ataque particularmente perigoso é o fato de que ele ignora completamente as detecções projetadas para escanear imagens suspeitas, já que elas são compostas inteiramente de caracteres de texto. Além disso, os códigos QR Unicode podem ser renderizados perfeitamente em telas sem nenhum problema e parecem marcadamente diferentes quando visualizados em texto simples, complicando ainda mais os esforços de detecção.
