I ricercatori di Netskope Threat Labs hanno individuato una campagna di phishing che sfrutta Microsoft Sway, la piattaforma cloud che consente di creare e condividere contenuti interattivi, come presentazioni, report, racconti personali, newsletter, ricordi delle vacanze, progetti per la scuola o il lavoro. L’obiettivo dei cybercriminali è rubare le credenziali Microsoft 365 delle aziende.
Phishing con codici QR
I primi attacchi sono stati rilevati nel mese di luglio. Il loro numero è aumentato esponenzialmente nelle ultime settimane. I bersagli principali sono aziende che operano nei settori tecnologia, manifattura e finanza. I cybercriminali inviano email alle ignare vittime con link che puntano ad una pagina creata con Microsoft Sway (quindi ospitata sul dominio sway.cloud.microsoft).
Nella suddetta pagina è scritto che l’utente deve effettuare la scansione del codice QR per scaricare un documento Office 365. La scansione con la fotocamera dello smartphone permette ai cybercriminali di aggirare le protezioni di sicurezza (meno rigide rispetto a quelle per PC e notebook) e quindi di spingere gli utenti a visitare un sito di phishing, il cui link è nascosto nel codice QR.
Ovviamente le credenziali di login verranno inviate ai cybercriminali. Per non destare sospetti viene utilizzata una tecnica nota come phishing trasparente. Mentre vengono rubate le credenziali, la vittima vede effettivamente la pagina di accesso legittima perché il login viene effettuato dagli stessi cybercriminali.
In alcuni casi viene utilizzato Cloudflare Turnstile, un tool che protegge i siti dai bot (un’alternativa ai CAPTCHA), ma che nasconde la pagine di phishing ai servizi di filtraggio. Non ricevendo una cattiva reputazione, i domini non vengono bloccati da Google Safe Browsing.