28 de agosto de 2024Ravie LakshmananAtaque de phishing / Violación de datos Los investigadores de ciberseguridad están llamando la atención sobre una nueva campaña de phishing de código QR (también conocido como quishing) que aprovecha la infraestructura de Microsoft Sway para alojar páginas falsas, lo que pone de relieve una vez más el abuso de las ofertas legítimas en la nube con fines maliciosos. «Al utilizar aplicaciones legítimas en la nube, los atacantes brindan credibilidad a las víctimas, ayudándolas a confiar en el contenido que ofrece», dijo el investigador de Netskope Threat Labs, Jan Michael Alcantara. «Además, una víctima usa su cuenta de Microsoft 365 en la que ya ha iniciado sesión cuando abre una página de Sway, lo que también puede ayudar a persuadirla sobre su legitimidad. Sway también se puede compartir a través de un enlace (enlace URL o enlace visual) o incrustarse en un sitio web mediante un iframe». Los ataques se han centrado principalmente en usuarios de Asia y América del Norte, siendo los sectores de tecnología, fabricación y finanzas los más buscados. Microsoft Sway es una herramienta basada en la nube para crear boletines, presentaciones y documentación. Forma parte de la familia de productos Microsoft 365 desde 2015. La empresa de ciberseguridad afirmó que observó un aumento de 2000 veces en el tráfico a páginas de phishing únicas de Microsoft Sway a partir de julio de 2024 con el objetivo final de robar las credenciales de Microsoft 365 de los usuarios. Esto se logra mediante la entrega de códigos QR falsos alojados en Sway que, cuando se escanean, redirigen a los usuarios a sitios web de phishing. En un intento adicional por evadir los esfuerzos de análisis estático, se ha observado que algunas de estas campañas de suplantación de identidad utilizan Cloudflare Turnstile como una forma de ocultar los dominios de los escáneres de URL estáticas. La actividad también es notable por aprovechar las tácticas de phishing del adversario en el medio (AitM), es decir, el phishing transparente, para desviar credenciales y códigos de autenticación de dos factores (2FA) utilizando páginas de inicio de sesión similares, mientras que simultáneamente intentan iniciar sesión en el servicio de la víctima. «El uso de códigos QR para redirigir a las víctimas a sitios web de phishing plantea algunos desafíos a los defensores», dijo Michael Alcantara. «Dado que la URL está incrustada dentro de una imagen, los escáneres de correo electrónico que solo pueden escanear contenido basado en texto pueden ser eludidos». «Además, cuando un usuario recibe un código QR, puede usar otro dispositivo, como su teléfono móvil, para escanear el código. Dado que las medidas de seguridad implementadas en los dispositivos móviles, en particular los teléfonos móviles personales, normalmente no son tan estrictas como las de las computadoras portátiles y de escritorio, las víctimas suelen ser más vulnerables al abuso». Esta no es la primera vez que los ataques de phishing han abusado de Microsoft Sway. En abril de 2020, Group-IB detalló una campaña denominada PerSwaysion que comprometió con éxito las cuentas de correo electrónico corporativas de al menos 156 oficiales de alto rango en varias empresas con sede en Alemania, el Reino Unido, los Países Bajos, Hong Kong y Singapur utilizando Sway como trampolín para redirigir a las víctimas a sitios de recolección de credenciales. El desarrollo se produce en un momento en que las campañas de suplantación de identidad se están volviendo más sofisticadas a medida que los proveedores de seguridad desarrollan contramedidas para detectar y bloquear este tipo de amenazas basadas en imágenes. «En un giro inteligente, los atacantes han comenzado a crear códigos QR utilizando caracteres de texto Unicode en lugar de imágenes», dijo el director de tecnología de SlashNext, J. Stephen Kowski. «Esta nueva técnica, que llamamos ‘Suplantación de identidad con código QR Unicode’, presenta un desafío significativo para las medidas de seguridad convencionales». Lo que hace que el ataque sea particularmente peligroso es el hecho de que evita por completo las detecciones diseñadas para escanear imágenes sospechosas, dado que están compuestas completamente de caracteres de texto. Además, los códigos QR Unicode se pueden reproducir perfectamente en las pantallas sin ningún problema y se ven notablemente diferentes cuando se ven en texto simple, lo que complica aún más los esfuerzos de detección. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.