Експерти з кібербезпеки виявили нову масштабну фішингову кампанію, яка використовує хмарний інструмент Microsoft Sway для створення шахрайських сторінок. Зловмисники експлуатують цей легітимний сервіс для розміщення фішингових лендінгів, націлених на викрадення облікових даних користувачів Microsoft 365.
Різке зростання атак та їх масштаб
Дослідники з Netskope Threat Labs зафіксували безпрецедентне збільшення кількості атак, що використовують Microsoft Sway, у липні 2024 року. Кількість інцидентів зросла в 2000 разів порівняно з першою половиною року, що свідчить про значний масштаб виявленої кампанії.
Цільова аудиторія та методи атаки
Основними мішенями зловмисників стали користувачі з країн Азії та Північної Америки, переважно працівники технологічного, виробничого та фінансового секторів. Атака починалася з фішингових електронних листів, які перенаправляли жертв на шахрайські сторінки, розміщені в домені sway.cloud.microsoft.
Використання QR-кодів для обходу захисту
На фішингових лендінгах користувачам пропонувалося відсканувати QR-коди, які вели на інші шкідливі сайти. Експерти підкреслюють, що зловмисники часто зловживають QR-кодами, оскільки мобільні пристрої зазвичай мають слабший захист порівняно з комп’ютерами. Це підвищує ймовірність обходу захисних механізмів та успішного заманювання жертви на фішинговий сайт.
Тактики підвищення ефективності атак
Хакери застосували кілька прийомів для посилення ефективності своєї кампанії:
1. “Прозорий фішинг”
Зловмисники викрадали облікові дані та коди багатофакторної автентифікації, використовуючи їх для входу в облікові записи Microsoft. При цьому жертвам показувалася легітимна сторінка входу, що ускладнювало виявлення атаки.
2. Зловживання Cloudflare Turnstile
Хакери використовували інструмент Cloudflare Turnstile, призначений для захисту сайтів від ботів, щоб приховати фішинговий вміст своїх цільових сторінок від статичних сканерів. Це допомагало зберегти хорошу репутацію фішингового домену та уникнути блокування такими рішеннями, як Google Safe Browsing.
Виявлена фішингова кампанія демонструє зростаючу складність кіберзагроз та необхідність постійного вдосконалення методів захисту. Організаціям рекомендується посилити навчання співробітників з питань кібербезпеки, впровадити багатофакторну автентифікацію та регулярно оновлювати системи безпеки для протидії подібним атакам.