В июле 2024 года специалисты по кибербезопасности выявили масштабную фишинговую кампанию, эксплуатирующую облачный инструмент Microsoft Sway для создания вредоносных лендингов. Эта атака представляет собой серьезную угрозу для пользователей Microsoft 365, поскольку злоумышленники нацелены на кражу учетных данных с использованием легитимных доменов Microsoft.
Беспрецедентный рост фишинговых атак
Исследователи из Netskope Threat Labs зафиксировали резкое увеличение числа атак в 2000 раз по сравнению с первой половиной года. Этот внезапный всплеск активности указывает на хорошо спланированную и широкомасштабную кампанию, затрагивающую пользователей преимущественно в Азии и Северной Америке. Основными мишенями стали сотрудники технологического, производственного и финансового секторов.
Механизм атаки: от электронной почты до QR-кодов
Атака начинается с фишинговых электронных писем, которые перенаправляют жертв на вредоносные страницы, размещенные в домене sway.cloud.microsoft. На этих лендингах пользователям предлагается отсканировать QR-коды, ведущие на дополнительные фишинговые сайты. Использование QR-кодов позволяет злоумышленникам обходить традиционные механизмы защиты электронной почты и эксплуатировать уязвимости мобильных устройств.
Почему QR-коды эффективны в фишинговых атаках
Эксперты Netskope Threat Labs объясняют: «URL-адрес, встроенный в изображение QR-кода, позволяет обойти почтовые сканеры, которые анализируют только текстовый контент. Кроме того, пользователи часто сканируют QR-коды с мобильных устройств, на которых меры безопасности обычно менее строгие, чем на корпоративных компьютерах». Это делает жертв более уязвимыми к фишинговым атакам.
Передовые методы, используемые злоумышленниками
Хакеры применяют ряд сложных техник для повышения эффективности своей кампании:
Прозрачный фишинг
Этот метод предполагает кражу не только учетных данных, но и кодов многофакторной аутентификации. Злоумышленники используют эту информацию для входа в учетные записи Microsoft в реальном времени, показывая жертвам легитимную страницу входа и маскируя факт взлома.
Злоупотребление Cloudflare Turnstile
Атакующие используют инструмент Cloudflare Turnstile, предназначенный для защиты от ботов, чтобы скрыть фишинговое содержимое от автоматизированных сканеров безопасности. Это позволяет сохранять хорошую репутацию вредоносных доменов и избегать блокировки такими системами, как Google Safe Browsing.
Данная фишинговая кампания демонстрирует растущую изощренность киберпреступников и подчеркивает необходимость постоянной бдительности. Организациям рекомендуется усилить меры безопасности, особенно в отношении облачных сервисов и мобильных устройств. Пользователям следует с осторожностью относиться к любым запросам на сканирование QR-кодов из непроверенных источников и регулярно проходить обучение по вопросам кибербезопасности. Только комплексный подход к защите данных может эффективно противостоять современным киберугрозам.