Les chercheurs en cybersécurité attirent l’attention sur une nouvelle campagne de phishing (ou quishing) par code QR qui exploite l’infrastructure Microsoft Sway pour héberger de fausses pages, soulignant une fois de plus l’abus d’offres cloud légitimes à des fins malveillantes.
« En utilisant des applications cloud légitimes, les attaquants apportent de la crédibilité aux victimes, les aidant à faire confiance au contenu qu’elles diffusent », explique Jan Michael Alcantara, chercheur chez Netskope Threat Labs. dit.
« De plus, une victime utilise son compte Microsoft 365 auquel elle est déjà connectée lorsqu’elle ouvre une page Sway, ce qui peut également l’aider à se convaincre de sa légitimité. Sway peut également être partagé via un lien (lien URL ou lien visuel) ou intégré sur un site Web à l’aide d’un iframe. »
Les attaques ont principalement ciblé les utilisateurs en Asie et en Amérique du Nord, les secteurs de la technologie, de la fabrication et de la finance étant les plus recherchés.
Microsoft Sway est un outil basé sur le cloud pour créer des newsletters, des présentations et de la documentation. Il fait partie de la famille de produits Microsoft 365 depuis 2015.
L’entreprise de cybersécurité a déclaré avoir observé une multiplication par 2 000 du trafic vers les pages de phishing uniques de Microsoft Sway à partir de juillet 2024, dans le but ultime de voler les identifiants Microsoft 365 des utilisateurs. Pour ce faire, des faux codes QR hébergés sur Sway sont diffusés et, une fois scannés, ils redirigent les utilisateurs vers des sites Web de phishing.
Dans une nouvelle tentative d’échapper aux efforts d’analyse statique, certaines de ces campagnes de quishing ont été observées utilisant Cloudflare Turnstile comme moyen de masquer les domaines aux scanners d’URL statiques.
L’activité est également connue pour exploiter les tactiques de phishing de type « adversaire du milieu » (AitM) – c’est-à-dire le phishing transparent – pour siphonner les informations d’identification et les codes d’authentification à deux facteurs (2FA) à l’aide de pages de connexion similaires, tout en essayant simultanément de connecter la victime au service.
« L’utilisation de codes QR pour rediriger les victimes vers des sites de phishing pose certains problèmes aux défenseurs », a déclaré Michael Alcantara. « Étant donné que l’URL est intégrée à une image, les scanners de courrier électronique qui ne peuvent analyser que le contenu textuel peuvent être contournés. »
« De plus, lorsqu’un utilisateur reçoit un code QR, il peut utiliser un autre appareil, comme son téléphone portable, pour scanner le code. Étant donné que les mesures de sécurité mises en œuvre sur les appareils mobiles, en particulier les téléphones portables personnels, ne sont généralement pas aussi strictes que celles des ordinateurs portables et de bureau, les victimes sont alors souvent plus vulnérables aux abus. »
Ce n’est pas la première fois que des attaques de phishing utilisent Microsoft Sway. En avril 2020, Group-IB a décrit une campagne baptisée PerSwaysion qui a réussi à compromettre les comptes de messagerie d’entreprise d’au moins 156 cadres supérieurs de diverses entreprises basées en Allemagne, au Royaume-Uni, aux Pays-Bas, à Hong Kong et à Singapour en utilisant Sway comme tremplin pour rediriger les victimes vers des sites de collecte d’identifiants.
Cette évolution intervient alors que les campagnes de quishing deviennent de plus en plus sophistiquées, les fournisseurs de sécurité développant des contre-mesures pour détecter et bloquer ces menaces basées sur des images.
« Dans un retournement de situation astucieux, les attaquants ont maintenant commencé à créer des codes QR en utilisant des caractères de texte Unicode au lieu d’images », a déclaré J. Stephen Kowski, directeur technique de SlashNext. dit« Cette nouvelle technique, que nous appelons « Unicode QR Code Phishing », représente un défi important pour les mesures de sécurité conventionnelles. »
Ce qui rend l’attaque particulièrement dangereuse est le fait qu’elle contourne entièrement les détections conçues pour détecter les images suspectes, étant donné qu’elles sont entièrement composées de caractères textuels. De plus, les codes QR Unicode peuvent être parfaitement restitués sur les écrans sans aucun problème et ont un aspect sensiblement différent lorsqu’ils sont visualisés en texte brut, ce qui complique encore davantage les efforts de détection.