حملة التصيد الاحتيالي الجديدة لرمز الاستجابة السريعة تستغل Microsoft Sway لسرقة بيانات الاعتماد
يلفت باحثو الأمن السيبراني الانتباه إلى حملة جديدة للتصيد الاحتيالي لرمز الاستجابة السريعة (المعروفة أيضًا باسم quishing) والتي تستفيد من البنية التحتية لـ Microsoft Sway لاستضافة صفحات مزيفة، مما يسلط الضوء مرة أخرى على إساءة استخدام العروض السحابية المشروعة لأغراض ضارة.
“من خلال استخدام التطبيقات السحابية المشروعة، يوفر المهاجمون المصداقية للضحايا، مما يساعدهم على الثقة في المحتوى الذي يقدمه،” قال جان مايكل ألكانتارا، الباحث في Netskope Threat Labs. قال.
“بالإضافة إلى ذلك، يستخدم الضحية حساب Microsoft 365 الخاص به والذي قام بتسجيل الدخول إليه بالفعل عند فتح صفحة Sway، مما يمكن أن يساعد في إقناعه بشرعيته أيضًا. ويمكن أيضًا مشاركة Sway من خلال أي رابط (رابط URL أو رابط مرئي) link) أو مضمنًا في موقع ويب باستخدام iframe.”
وقد استهدفت الهجمات في المقام الأول المستخدمين في آسيا وأمريكا الشمالية، حيث كانت قطاعات التكنولوجيا والتصنيع والمالية هي القطاعات الأكثر رواجًا.
مايكروسوفت سواي هو أداة تعتمد على السحابة لإنشاء النشرات الإخبارية والعروض التقديمية والوثائق. إنه جزء من عائلة منتجات Microsoft 365 منذ عام 2015.
قالت شركة الأمن السيبراني إنها لاحظت زيادة قدرها 2000 ضعف في حركة المرور إلى صفحات التصيد الفريدة لـ Microsoft Sway بدءًا من يوليو 2024 بهدف نهائي هو سرقة بيانات اعتماد Microsoft 365 للمستخدمين. يتم تحقيق ذلك من خلال تقديم رموز QR زائفة مستضافة على Sway والتي، عند فحصها، تعيد توجيه المستخدمين إلى مواقع التصيد الاحتيالي.
وفي محاولة أخرى للتهرب من جهود التحليل الثابت، لوحظ أن بعض حملات القمع هذه تستخدم Cloudflare Turnstile كوسيلة لإخفاء النطاقات من ماسحات URL الثابتة.
يتميز هذا النشاط أيضًا بالاستفادة من تكتيكات التصيد الاحتيالي (AitM) – أي التصيد الاحتيالي الشفاف – لسرقة بيانات الاعتماد ورموز المصادقة الثنائية (2FA) باستخدام صفحات تسجيل دخول متشابهة، مع محاولة تسجيل دخول الضحية في نفس الوقت. الخدمة.
وقال مايكل ألكانتارا: “إن استخدام رموز الاستجابة السريعة لإعادة توجيه الضحايا إلى مواقع التصيد الاحتيالي يشكل بعض التحديات للمدافعين”. “نظرًا لأن عنوان URL مضمن داخل الصورة، يمكن تجاوز برامج فحص البريد الإلكتروني التي يمكنها فحص المحتوى المستند إلى النص فقط.”
“بالإضافة إلى ذلك، عندما يتم إرسال رمز الاستجابة السريعة للمستخدم، يجوز له استخدام جهاز آخر، مثل هاتفه المحمول، لمسح الرمز ضوئيًا. نظرًا لأن الإجراءات الأمنية المطبقة على الأجهزة المحمولة، وخاصة الهواتف المحمولة الشخصية، لا تكون عادةً صارمة مثل أجهزة الكمبيوتر المحمولة وأجهزة الكمبيوتر المكتبية، غالبًا ما يكون الضحايا أكثر عرضة للإساءة.”
ليست هذه هي المرة الأولى التي تسيء فيها هجمات التصيد الاحتيالي استخدام Microsoft Sway. في أبريل 2020، قامت Group-IB بتفصيل حملة أطلق عليها اسم PerSwaysion والتي نجحت في اختراق حسابات البريد الإلكتروني للشركات لما لا يقل عن 156 مسؤولًا رفيع المستوى في شركات مختلفة مقرها في ألمانيا والمملكة المتحدة وهولندا وهونج كونج وسنغافورة باستخدام Sway كنقطة انطلاق. مجلس لإعادة توجيه الضحايا إلى مواقع حصاد أوراق الاعتماد.
ويأتي هذا التطوير في الوقت الذي أصبحت فيه حملات القمع أكثر تعقيدًا حيث يقوم بائعو الأمن بتطوير إجراءات مضادة لاكتشاف مثل هذه التهديدات القائمة على الصور وحظرها.
“في تطور ذكي، بدأ المهاجمون الآن في صياغة رموز الاستجابة السريعة باستخدام أحرف نصية Unicode بدلاً من الصور،” قال SlashNext CTO J. Stephen Kowski قال. “إن هذه التقنية الجديدة، والتي نطلق عليها اسم Unicode QR Code Phishing، تمثل تحديًا كبيرًا للتدابير الأمنية التقليدية.”
ما يجعل الهجوم خطيرًا بشكل خاص هو حقيقة أنه يتجاوز تمامًا عمليات الكشف المصممة للبحث عن الصور المشبوهة، نظرًا لأنها تتكون بالكامل من أحرف نصية. علاوة على ذلك، يمكن عرض رموز Unicode QR بشكل مثالي على الشاشات دون أي مشكلة، وتبدو مختلفة بشكل ملحوظ عند عرضها بنص عادي، مما يزيد من تعقيد جهود الكشف.
إرسال التعليق