В июле 2024 года специалисты Netskope обнаружили резкий рост фишинговых атак, которые используют Microsoft Sway для кражи учётных данных пользователей Microsoft 365. Зафиксированное увеличение атак в 2000 раз резко контрастировало с минимальной активностью в первой половине года, что подчёркивает масштаб и серьёзность этой кампании.
Атаки были нацелены преимущественно на пользователей в Азии и Северной Америке, при этом особое внимание злоумышленники уделяли представителям технологического, производственного и финансового секторов. Фишинговые письма перенаправляли потенциальных жертв на страницы, размещённые на домене “sway.cloud.microsoft”, где пользователям предлагалось сканировать QR-коды, ведущие на вредоносные сайты.
Злоумышленники активно использовали уязвимость мобильных устройств, которая связана с более слабыми мерами безопасности по сравнению с компьютерами. Это повышало вероятность обхода защитных механизмов и упрощало доступ к фишинговым сайтам. QR-коды, внедрённые в изображения, также помогали обходить автоматические сканеры электронной почты, которые проверяют только текстовый контент.
Исследователи по безопасности пояснили, что пользователи, сканируя QR-коды с помощью мобильных устройств, становятся уязвимее из-за недостаточной защиты на этих устройствах, особенно если речь идёт об их личных смартфонах.
Кроме того, злоумышленники применяли различные тактики для повышения эффективности своей кампании. Например, они использовали метод прозрачного фишинга, который позволял не только украсть учётные данные и коды многофакторной аутентификации, но и одновременно показать жертве настоящую страницу входа в Microsoft, что снижало подозрения.
Для маскировки своих фишинговых страниц злоумышленники также использовали инструмент Cloudflare Turnstile, который защищает сайты от ботов. Это позволяло скрывать вредоносный контент от статических сканеров и поддерживать репутацию домена на высоком уровне, избегая блокировок со стороны сервисов фильтрации, таких как Google Safe Browsing.
Стоит отметить, что Microsoft Sway уже использовался в подобных атаках пять лет назад, когда во время кампании PerSwaysion злоумышленники пытались украсть учётные данные Office 365 с помощью фишингового комплекта, предлагавшегося в рамках модели “вредоносное ПО как услуга” (MaaS). Тогда пострадали как минимум 156 высокопоставленных лиц из финансовых и юридических компаний, а также агентств недвижимости в нескольких странах, включая США, Канаду, Германию и Великобританию.
Последняя волна атак вновь подчёркивает необходимость повышенного внимания к безопасности и осторожности при взаимодействии с подозрительными электронными письмами и ссылками, особенно теми, которые требуют сканирования QR-кодов.