オンラインプレゼンテーションを作成するためのクラウドベースのツールであるMicrosoft Swayを悪用し、Microsoft 365ユーザーを騙して認証情報を引き渡させるランディングページをホストする大規模なQRコードフィッシングキャンペーンが発生しました。
この攻撃は、Netskope Threat Labsが2024年7月に検知したもので、Microsoft 365の認証情報を盗むフィッシングページをホストするためにMicrosoft Swayを悪用する攻撃が2,000倍に激増しました。この急増は、今年上半期に報告された活動が最小限であったのとは対照的であり、このキャンペーンが大規模であったことを示しています。
このキャンペーンは主にアジアと北米のユーザーを標的としており、テクノロジー、製造、金融セクターが最も狙われていた。
このメールでは、潜在的な被害者をsway.cloud.microsoftドメインでホストされているフィッシング・ランディング・ページにリダイレクトし、他の悪意のあるウェブサイトに送るQRコードをスキャンするよう促していた。
攻撃者は、一般的にセキュリティ対策が脆弱な携帯端末を使用してQRコードをスキャンするよう被害者に促すことが多く、その結果、セキュリティ制御を回避し、制限なしにフィッシングサイトにアクセスできる可能性が高まる。
「URLは画像内に埋め込まれているため、テキストベースのコンテンツしかスキャンできない電子メール・スキャナーはバイパスされてしまう。さらに、QRコードを受け取ったユーザーは、携帯電話などの別のデバイスを使ってQRコードをスキャンする可能性があります。
「モバイル・デバイス、特に個人の携帯電話には、ラップトップやデスクトップほど厳重なセキュリティ対策が施されていないため、被害者は悪用されやすい。
攻撃者は、キャンペーンの効果をさらに高めるためにいくつかの戦術を採用した。例えば、透明フィッシングでは、認証情報と多要素認証コードを盗み出し、正規のログインページを見せながら、それらを使って被害者をマイクロソフト・アカウントにサインインさせた。
また、ボットからウェブサイトを保護するためのツールであるCloudflare Turnstileを使用し、静的スキャナーからランディングページのフィッシング・コンテンツを隠すことで、フィッシング・ドメインの評判を維持し、Google Safe Browsingのようなウェブ・フィルタリング・サービスによるブロックを回避していた。
Microsoft Swayは、5年前にマルウェア・アズ・ア・サービス(MaaS)で提供されたフィッシング・キットを使ってOffice 365のログイン認証情報を狙ったPerSwaysionフィッシング・キャンペーンでも悪用された。
Group-IBのセキュリティ研究者が当時明らかにしたように、これらの攻撃は中小の金融サービス会社、法律事務所、不動産グループの少なくとも156人の高官を騙していた。
Group-IBによると、窃取されたOffice 365アカウントのうち20件以上が、米国、カナダ、ドイツ、英国、オランダ、香港、シンガポールの組織の幹部、社長、マネージング・ディレクターのものだったという。
Comments