Microsoft Sway é abusado por agentes de ameaças para roubar credenciais de login

Microsoft Sway é abusado por agentes de ameaças para roubar credenciais de login
Compartilhe

Pesquisadores observaram um aumento significativo em ataques de phishing direcionados às credenciais do MS Office via Microsoft Sway em julho de 2024, onde os invasores usaram códigos QR para atrair vítimas para sites maliciosos, empregando phishing transparente e Cloudflare Turnstile para evitar a detecção e contornar medidas de segurança. 

Essas campanhas tiveram como alvo principal usuários da Ásia e da América do Norte de vários setores, enfatizando a necessidade de maior conscientização sobre segurança e proteção contra táticas sofisticadas de phishing.

Sway

O Microsoft Sway, um aplicativo gratuito do Microsoft 365, está sendo explorado por invasores para distribuir conteúdo de phishing .

Sua facilidade de acesso e integração com contas da Microsoft o tornam um alvo tentador para campanhas maliciosas, pois pode aumentar a credibilidade de tentativas de phishing e enganar as vítimas, fazendo-as confiar no conteúdo.

Microsoft Sway é abusado por agentes de ameaças para roubar credenciais de login

Esse aumento coincide com a decisão da Microsoft de consolidar todos os seus serviços de nuvem em um único domínio, o que pode indicar uma mudança nas estratégias empregadas pelos invasores. 

Quishing é um ataque de phishing em que invasores inserem URLs maliciosos em códigos QR.

Microsoft Sway é abusado por agentes de ameaças para roubar credenciais de login

As vítimas são atraídas a escanear esses códigos QR, que as redirecionam para sites fraudulentos projetados para roubar informações pessoais ou infectar seus dispositivos com malware. 

Ela capitalizou o uso crescente de códigos QR durante a pandemia da COVID-19, quando as pessoas se acostumaram a escaneá-los para diversos fins.

Microsoft Sway é abusado por agentes de ameaças para roubar credenciais de login

Campanhas de phishing estão explorando códigos QR para contornar scanners de e-mail tradicionais e atingir dispositivos móveis, que geralmente têm medidas de segurança menos rigorosas.

O Google Chrome e o QR Code Generator PRO estão sendo usados ​​para criar esses códigos QR maliciosos, redirecionando as vítimas para sites de phishing.

Os invasores de phishing usam o Cloudflare Turnstile para proteger seus sites maliciosos de ferramentas de análise estática que ocultam cargas de phishing, impedem que serviços de filtragem da web os bloqueiem e mantêm uma boa reputação de domínio.

O phishing de invasor no meio é uma técnica mais avançada do que o phishing tradicional. Ele não apenas coleta credenciais do usuário, mas também tenta fazer o login da vítima no serviço legítimo, potencialmente ignorando a autenticação multifator, o que permite que invasores roubem tokens ou cookies sensíveis que podem ser usados ​​para acesso não autorizado posterior.

Microsoft Sway é abusado por agentes de ameaças para roubar credenciais de login

De acordo com a Netskope , o Microsoft Sway se tornou alvo de ataques de phishing, onde os invasores usam o Cloudflare Turnstile para evitar a detecção e coletar credenciais por meio de phishing transparente.

Os defensores devem atualizar seus controles de segurança para bloquear o novo domínio do Microsoft Sway.

Para combater tentativas de phishing usando domínios sway.cloud.microsoft , os usuários devem verificar URLs e acessar diretamente sites críticos.

As organizações podem aproveitar a filtragem de URL, políticas de proteção contra ameaças e isolamento remoto de navegador (RBI) para maior segurança do tráfego da web e da nuvem.