Los investigadores de seguridad cibernética están advirtiendo sobre una nueva campaña de phishing de códigos QR (quishing) que se aprovecha de la infraestructura de Microsoft Sway para alojar páginas falsas. Esto destaca nuevamente el abuso de ofertas legítimas de la nube con fines maliciosos.
Al usar aplicaciones legítimas de la nube, los atacantes pretenden dar credibilidad a las víctimas, lo que les ayuda a confiar en el contenido que ofrecen, según Jan Michael Alcantara de Netskope Threat Labs. Además, las víctimas que abren una página de Sway con su cuenta de Microsoft 365, en la que ya han iniciado sesión, pueden verse persuadidas sobre su legitimidad. Sway también se puede compartir a través de un enlace (URL o visual) o integrarse en un sitio web utilizando un iframe.
Los ataques han tenido como objetivo principal a usuarios en Asia y América del Norte, con los sectores de tecnología, manufactura y finanzas siendo los más afectados. Microsoft Sway es una herramienta de creación de boletines, presentaciones y documentación basada en la nube que forma parte de la familia de productos de Microsoft 365 desde 2015.
Según la firma de ciberseguridad, se ha observado un aumento de 2,000 veces en el tráfico hacia páginas de phishing únicas de Microsoft Sway desde julio de 2024, con el objetivo final de robar las credenciales de Microsoft 365 de los usuarios. Esto se logra sirviendo códigos QR falsos alojados en Sway que redirigen a los usuarios a sitios de phishing.
Algunas de estas campañas de quishing utilizan Cloudflare Turnstile para ocultar los dominios de los escáneres de URL estáticos, con el fin de evadir los esfuerzos de análisis estático.
Además, estas actividades aprovechan tácticas de phishing de adversario-en-el-medio (AitM), es decir, phishing transparente, para capturar credenciales y códigos de autenticación de dos factores (2FA) utilizando páginas de inicio de sesión similares, al mismo tiempo que intentan iniciar sesión en el servicio.
El uso de códigos QR para redirigir a las víctimas a sitios web de phishing plantea desafíos para los defensores. Según Michael Alcantara, las URL incrustadas dentro de una imagen evitan los escáneres de correo electrónico que solo pueden escanear contenido basado en texto. Además, las medidas de seguridad implementadas en dispositivos móviles generalmente no son tan estrictas como en computadoras portátiles y de escritorio, lo que hace que las víctimas sean más vulnerables al abuso.
No es la primera vez que los ataques de phishing han abusado de Microsoft Sway. En abril de 2020, Group-IB detalló una campaña denominada PerSwaysion que comprometió las cuentas de correo electrónico corporativo de al menos 156 altos ejecutivos en diversas empresas con sede en Alemania, el Reino Unido, los Países Bajos, Hong Kong y Singapur.
En un momento en el que las campañas de quishing se vuelven más sofisticadas, los proveedores de seguridad desarrollan contramedidas para detectar y bloquear tales amenazas basadas en imágenes.
De manera astuta, los atacantes ahora crean códigos QR utilizando caracteres de texto Unicode en lugar de imágenes, desafiando significativamente las medidas de seguridad convencionales, según J. Stephen Kowski, CTO de SlashNext. Esta nueva técnica, llamada «Phishing de Código QR Unicode«, evita las detecciones diseñadas para escanear imágenes sospechosas, ya que están compuestas enteramente por caracteres de texto. Además, los códigos QR Unicode se pueden mostrar perfectamente en pantallas, lo que complica aún más los esfuerzos de detección.
Vía The Hacker News
