Chiến dịch lừa đảo mã QR khai thác Microsoft Sway để đánh cắp thông tin xác thực

Tác giả ChatGPT, T.Tám 29, 2024, 08:31:40 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một chiến dịch lừa đảo bằng mã QR (hay còn gọi là quishing) mới tận dụng cơ sở hạ tầng của Microsoft Sway để lưu trữ các trang giả mạo, một lần nữa nêu bật việc lạm dụng các dịch vụ đám mây hợp pháp cho mục đích độc hại.

Nhà nghiên cứu Jan Michael Alcantara của Netskope Threat Labs cho biết : "Bằng cách sử dụng các ứng dụng đám mây hợp pháp, những kẻ tấn công mang lại sự tin cậy cho nạn nhân, giúp họ tin tưởng vào nội dung mà nó phục vụ".


"Ngoài ra, nạn nhân sử dụng tài khoản Microsoft 365 mà họ đã đăng nhập khi mở trang Sway, điều đó cũng có thể giúp thuyết phục họ về tính hợp pháp của nó. Sway cũng có thể được chia sẻ thông qua một liên kết (liên kết URL hoặc hình ảnh trực quan) link) hoặc được nhúng trên trang web bằng iframe."

Các cuộc tấn công chủ yếu nhắm vào người dùng ở châu Á và Bắc Mỹ, trong đó lĩnh vực công nghệ, sản xuất và tài chính là những lĩnh vực được săn đón nhiều nhất.

Microsoft Sway là một công cụ dựa trên đám mây để tạo bản tin, bản trình bày và tài liệu. Nó là một phần của dòng sản phẩm Microsoft 365 kể từ năm 2015.

Công ty an ninh mạng cho biết họ đã quan sát thấy lưu lượng truy cập vào các trang lừa đảo Microsoft Sway duy nhất tăng gấp 2.000 lần kể từ tháng 7 năm 2024 với mục tiêu cuối cùng là đánh cắp thông tin đăng nhập Microsoft 365 của người dùng. Điều này đạt được bằng cách cung cấp mã QR giả mạo được lưu trữ trên Sway, khi được quét, sẽ chuyển hướng người dùng đến các trang web lừa đảo.

Trong một nỗ lực khác nhằm trốn tránh các nỗ lực phân tích tĩnh, một số chiến dịch đánh lừa này đã được quan sát thấy sử dụng Cloudflare Turnstile như một cách để ẩn tên miền khỏi máy quét URL tĩnh.

Hoạt động này cũng đáng chú ý vì tận dụng các chiến thuật lừa đảo trung gian (AitM) – tức là lừa đảo minh bạch – để lấy thông tin xác thực và mã xác thực hai yếu tố (2FA) bằng cách sử dụng các trang đăng nhập trông giống nhau, đồng thời cố gắng đăng nhập nạn nhân vào dịch vụ.

Michael Alcantara cho biết: "Việc sử dụng mã QR để chuyển hướng nạn nhân đến các trang web lừa đảo đặt ra một số thách thức đối với những người bảo vệ". "Vì URL được nhúng bên trong hình ảnh nên các trình quét email chỉ có thể quét nội dung dựa trên văn bản có thể bị bỏ qua."

"Ngoài ra, khi người dùng nhận được mã QR, họ có thể sử dụng một thiết bị khác, chẳng hạn như điện thoại di động, để quét mã. Vì các biện pháp bảo mật được triển khai trên thiết bị di động, đặc biệt là điện thoại di động cá nhân, thường không nghiêm ngặt như máy tính xách tay." và máy tính để bàn, nạn nhân thường dễ bị lạm dụng hơn."

Đây không phải là lần đầu tiên các cuộc tấn công lừa đảo lợi dụng Microsoft Sway. Vào tháng 4 năm 2020, Group-IB đã trình bày chi tiết về một chiến dịch có tên PerSwaysion đã xâm nhập thành công tài khoản email công ty của ít nhất 156 quan chức cấp cao tại nhiều công ty khác nhau có trụ sở tại Đức, Anh, Hà Lan, Hồng Kông và Singapore bằng cách sử dụng Sway làm bước nhảy vọt. hội đồng quản trị để chuyển hướng nạn nhân đến các trang web thu thập thông tin xác thực.

Sự phát triển này diễn ra khi các chiến dịch tấn công mạng ngày càng tinh vi hơn vì các nhà cung cấp dịch vụ bảo mật đang phát triển các biện pháp đối phó để phát hiện và ngăn chặn các mối đe dọa dựa trên hình ảnh như vậy.

"Một bước đi thông minh hơn, những kẻ tấn công hiện đã bắt đầu tạo mã QR bằng cách sử dụng các ký tự văn bản Unicode thay vì hình ảnh", CTO của SlashNext J. Stephen Kowski cho biết. "Kỹ thuật mới này, mà chúng tôi gọi là 'Lừa đảo bằng mã QR Unicode', đặt ra một thách thức đáng kể đối với các biện pháp bảo mật thông thường."

Điều khiến cuộc tấn công trở nên đặc biệt nguy hiểm là nó hoàn toàn vượt qua các phát hiện được thiết kế để quét các hình ảnh đáng ngờ, vì chúng hoàn toàn bao gồm các ký tự văn bản. Hơn nữa, mã QR Unicode có thể được hiển thị hoàn hảo trên màn hình mà không gặp bất kỳ vấn đề nào và trông khác biệt rõ rệt khi được xem ở dạng văn bản thuần túy, khiến nỗ lực phát hiện trở nên phức tạp hơn.