Nueva campaña de phishing con códigos QR, aprovecha Microsoft Sway para robar credenciales

BeyGoo

Investigadores de ciberseguridad están llamando la atención sobre una nueva campaña de phishing con códigos QR (también conocido como quishing) que aprovecha la infraestructura de Microsoft Sway para alojar páginas falsas, lo que pone de relieve una vez más el abuso de las ofertas legítimas de la nube con fines maliciosos.

«Al utilizar aplicaciones legítimas en la nube, los atacantes brindan credibilidad a las víctimas, ayudándolas a confiar en el contenido que ofrecen», dijo Jan Michael Alcantara, investigador de Netskope Threat Labs.

«Además, una víctima usa su cuenta de Microsoft 365 en la que ya ha iniciado sesión cuando abre una página de Sway, lo que también puede ayudar a persuadirla sobre su legitimidad. Sway también se puede compartir a través de un enlace (enlace URL o enlace visual) o incrustarse en un sitio web mediante un iframe».

Los ataques se han centrado principalmente en usuarios de Asia y América del Norte, siendo los sectores de tecnología, fabricación y finanzas los más buscados.

Microsoft Sway es una herramienta basada en la nube para crear boletines, presentaciones y documentación. Forma parte de la familia de productos Microsoft 365 desde 2015.

La empresa de ciberseguridad afirmó que observó un aumento de 2000 veces en el tráfico a páginas de phishing únicas de Microsoft Sway a partir de julio de 2024 con el objetivo final de robar las credenciales de Microsoft 365 de los usuarios. Esto se logra mediante la entrega de códigos QR falsos alojados en Sway que, cuando se escanean, redirigen a los usuarios a sitios web de phishing.

En otro intento por evadir los esfuerzos de análisis estático, se ha observado que algunas de estas campañas de suplantación de identidad utilizan Cloudflare Turnstile como una forma de ocultar los dominios de los escáneres de URL estáticas.

La actividad también se destaca por aprovechar las tácticas de phishing del tipo adversario en el medio (AitM), es decir, phishing transparente, para robar credenciales y códigos de autenticación de dos factores (2FA) utilizando páginas de inicio de sesión similares, mientras que al mismo tiempo intentan iniciar sesión en el servicio.

Lo que hace que el ataque sea particularmente peligroso es el hecho de que evita por completo las detecciones diseñadas para escanear imágenes sospechosas, dado que están compuestas completamente de caracteres de texto. Además, los códigos QR Unicode pueden reproducirse perfectamente en las pantallas sin ningún problema y se ven marcadamente diferentes cuando se ven en texto simple, lo que complica aún más los esfuerzos de detección.

Big Head

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.