Siber güvenlik araştırmacıları, Microsoft Sway altyapısını kullanarak sahte sayfalar barındıran yeni bir QR kod kimlik avı (quishing) kampanyasına dikkat çekiyor ve bu, meşru bulut hizmetlerinin kötü amaçlı olarak kötüye kullanıldığını bir kez daha ortaya koyuyor.
“Saldırganlar, meşru bulut uygulamalarını kullanarak kurbanlara güvenilirlik sağlıyor ve onların sunduğu içeriğe güvenmelerine yardımcı oluyor,” Netskope Threat Labs araştırmacısı Jan Michael Alcantara söz konusu.
“Ek olarak, bir kurban bir Sway sayfasını açtığında zaten oturum açmış olduğu Microsoft 365 hesabını kullanır, bu da onu sayfanın meşruluğu konusunda ikna etmeye yardımcı olabilir. Sway ayrıca bir bağlantı (URL bağlantısı veya görsel bağlantı) aracılığıyla paylaşılabilir veya bir iframe kullanılarak bir web sitesine yerleştirilebilir.”
Saldırılar öncelikle Asya ve Kuzey Amerika’daki kullanıcıları hedef aldı, en çok ilgi gören sektörler ise teknoloji, üretim ve finans sektörleri oldu.
Microsoft Sway bir bulut tabanlı araç bültenler, sunumlar ve belgeler oluşturmak için. 2015’ten beri Microsoft 365 ürün ailesinin bir parçasıdır.
Siber güvenlik firması, Temmuz 2024’ten itibaren benzersiz Microsoft Sway kimlik avı sayfalarına gelen trafiğin 2.000 kat arttığını ve nihai hedefin kullanıcıların Microsoft 365 kimlik bilgilerini çalmak olduğunu söyledi. Bu, tarandığında kullanıcıları kimlik avı web sitelerine yönlendiren Sway’de barındırılan sahte QR kodları sunularak gerçekleştirilir.
Statik analiz çabalarından kaçınmak için yapılan bir diğer girişimde, bu quishing kampanyalarından bazılarının, alan adlarını statik URL tarayıcılarından gizlemenin bir yolu olarak Cloudflare Turnstile’ı kullandığı gözlemlendi.
Faaliyet ayrıca, benzer oturum açma sayfaları kullanarak kimlik bilgilerini ve iki faktörlü kimlik doğrulama (2FA) kodlarını çalmak için düşman-aracı (AitM) kimlik avı taktiklerinden (yani şeffaf kimlik avından) yararlanması ve aynı anda kurbanı hizmete kaydetmeye çalışmasıyla da dikkat çekiyor.
“QR kodlarını kurbanları kimlik avı web sitelerine yönlendirmek için kullanmak, savunmacılar için bazı zorluklar yaratıyor,” dedi Michael Alcantara. “URL bir görüntünün içine yerleştirildiği için, yalnızca metin tabanlı içeriği tarayabilen e-posta tarayıcıları atlatılabilir.”
“Ek olarak, bir kullanıcıya bir QR kodu gönderildiğinde, kodu taramak için cep telefonu gibi başka bir cihazı kullanabilir. Mobil cihazlarda, özellikle kişisel cep telefonlarında uygulanan güvenlik önlemleri genellikle dizüstü bilgisayarlar ve masaüstü bilgisayarlar kadar sıkı olmadığından, kurbanlar genellikle suistimale karşı daha savunmasızdır.”
Bu, kimlik avı saldırılarının Microsoft Sway’i kötüye kullandığı ilk sefer değil. Nisan 2020’de Group-IB, kurbanları kimlik bilgisi toplama sitelerine yönlendirmek için sıçrama tahtası olarak Sway’i kullanarak Almanya, Birleşik Krallık, Hollanda, Hong Kong ve Singapur merkezli çeşitli firmalarda en az 156 üst düzey yöneticinin kurumsal e-posta hesaplarını başarıyla ele geçiren PerSwaysion adlı bir kampanyayı ayrıntılı olarak açıkladı.
Bu gelişme, güvenlik sağlayıcılarının görüntü tabanlı tehditleri tespit edip engellemek için karşı önlemler geliştirmesiyle birlikte bastırma kampanyalarının daha da karmaşık hale gelmesiyle birlikte ortaya çıktı.
“Akıllıca bir hamleyle, saldırganlar artık görseller yerine Unicode metin karakterleri kullanarak QR kodları oluşturmaya başladılar,” SlashNext CTO’su J. Stephen Kowski söz konusu“‘Unicode QR Kod Kimlik Avı’ adını verdiğimiz bu yeni teknik, geleneksel güvenlik önlemlerine önemli bir meydan okuma oluşturuyor.”
Saldırıyı özellikle tehlikeli yapan şey, tamamen metin karakterlerinden oluştuğu için şüpheli görüntüleri taramak için tasarlanmış tespitleri tamamen atlatması gerçeğidir. Dahası, Unicode QR kodları herhangi bir sorun olmadan ekranlarda mükemmel bir şekilde işlenebilir ve düz metin olarak görüntülendiğinde belirgin şekilde farklı görünebilir, bu da tespit çabalarını daha da karmaşık hale getirir.