微软Sway在大规模二维码钓鱼活动中被滥用

安全
该活动主要针对亚洲和北美地区的用户,特别是技术、制造和金融行业,这些行业成为攻击者的主要目标。

近期,一个大规模的网络钓鱼活动利用Microsoft Sway这一云基础的在线演示工具来搭建登陆页面,目的是为了诱使Microsoft 365用户泄露他们的登录凭证。

2024年7月,Netskope的安全威胁实验室发现,通过Microsoft Sway托管的钓鱼网页数量激增,与今年上半年相比,增长了惊人的2000倍。这种急剧上升的趋势与此前的低活动水平形成了鲜明对比,更加凸显了这次攻击活动的规模。

该活动主要针对亚洲和北美地区的用户,特别是技术、制造和金融行业,这些行业成为攻击者的主要目标。

攻击者通过电子邮件将潜在的受害者引导至由sway.cloud.microsoft域名托管的钓鱼登陆页面。这些页面诱导目标用户扫描QR码,进而将他们重定向到其他恶意网站。

攻击者倾向于鼓励用户使用移动设备扫描这些二维码,因为移动设备的安全防护通常较弱,这增加了他们绕过安全措施、无障碍访问钓鱼网站的可能性。

安全研究人员指出:由于URL被嵌入到图片中,那些只能扫描文本内容的电子邮件扫描器将无法识别。此外,当用户收到二维码时,他们可能会选择使用手机等移动设备进行扫描。

“移动设备,尤其是个人手机,其实施的安全措施通常没有笔记本电脑和台式机那么严格,这使得用户更容易成为攻击的目标。”研究人员进一步解释道。

微软 Sway 网络钓鱼页面示例(来源:Netskope)

攻击者采取了多种手段来提高其钓鱼活动的成功率,例如通过透明钓鱼手段,他们盗取了用户的凭证和多因素认证码,并在向用户展示合法登录页面的同时,使用这些信息登录用户的Microsoft账户。

他们还使用了Cloudflare Turnstile这一旨在防止机器人访问的工具,来隐藏其钓鱼登陆页面的内容,避免静态扫描器的检测。这有助于保持钓鱼域名的良好信誉,并防止被诸如Google Safe Browsing之类的网络过滤服务所屏蔽。

Microsoft Sway在五年前的PerSwaysion钓鱼活动中也遭到了滥用,该活动通过一个在恶意软件即服务(MaaS)业务中提供的钓鱼套件,针对Office 365的登录凭证。

Group-IB的安全研究人员当时揭露,这些攻击至少欺骗了156位在中小型金融服务公司、律师事务所和房地产集团中担任高级职位的人员。

Group-IB表示,在所有被“收割” 的Office 365账户中,有超过20%是来自美国、加拿大、德国、英国、荷兰、中国香港和新加坡等国家或地区的组织中的高级执行官、总裁和常务董事。

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2024-06-26 08:46:45

2013-01-30 12:16:49

二维码NFC近场通讯

2018-01-30 10:14:00

北京地铁二维码互联网购票

2023-11-17 09:07:51

.NET生成二维码识别二维码

2022-06-29 06:07:31

QQ盗号腾讯

2017-02-21 09:17:46

二维码漏洞

2023-11-17 15:44:06

C++库生成二维码

2013-08-20 10:25:13

微软Scanbuy

2011-12-06 16:40:45

二维码快拍二维码灵动快拍

2021-08-26 05:21:41

WordPressAggah网络钓鱼

2024-10-21 16:57:04

2012-04-01 09:53:13

二维码

2014-03-05 14:41:55

二维码登录

2015-09-24 09:56:19

.NET二维码

2023-12-25 14:53:36

2024-03-11 16:03:59

2020-10-08 18:48:02

二维码安全应用安全网络攻击

2015-10-28 13:33:50

二维码条形码扫描源码

2023-08-08 14:16:07

二维码开发鸿蒙

2011-11-24 16:00:23

信息图QR码二维码
点赞
收藏

51CTO技术栈公众号