Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Silvia Felici : 2 Settembre 2024 08:27
I ricercatori di cybersecurity hanno scoperto una nuova e allarmante minaccia: una campagna di phishing basata su codici QR, chiamata “quishing“. Questo attacco sfrutta in modo ingegnoso l’infrastruttura di Microsoft Sway, un popolare strumento cloud per la creazione di presentazioni e documenti, per ospitare pagine fraudolente. Questa scoperta mette in luce un pericolo insidioso: anche i servizi cloud più affidabili possono essere trasformati in potenti armi nelle mani dei cybercriminali.
“Utilizzando applicazioni cloud riconosciute, gli attaccanti riescono a infondere fiducia nelle vittime, che si sentono più sicure nell’interagire con i contenuti forniti“, spiega Jan Michael Alcantara, ricercatore presso Netskope Threat Labs. “Quando una vittima apre una pagina Sway (Pagina web interattiva), spesso lo fa già autenticata con il proprio account Microsoft 365, il che può contribuire a legittimare l’attacco agli occhi dell’utente. Sway, inoltre, può essere facilmente condiviso tramite link o incorporato in un sito web tramite un tag iframe.”
Gli attacchi hanno preso di mira principalmente utenti in Asia e Nord America, con particolare attenzione ai settori della tecnologia, della produzione e della finanza.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?
Stiamo per avviare il corso intermedio in modalità "Live Class", previsto per febbraio.
A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente.
Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato.
Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile.
Non perdere i nostri corsi e scrivi subito su WhatsApp al numero
379 163 8765
per richiedere informazioni
"
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Microsoft Sway, lanciato nel 2015, è uno strumento cloud-based per la creazione di newsletter, presentazioni e documentazione. Secondo quanto riportato da una nota azienda di sicurezza, si è registrato un aumento di 2.000 volte nel traffico verso pagine di phishing uniche ospitate su Sway a partire da luglio 2024. L’obiettivo di questi attacchi è rubare le credenziali degli utenti Microsoft 365, utilizzando falsi codici QR che, una volta scansionati, reindirizzano a siti web di phishing.
In alcune di queste campagne di quishing, gli aggressori utilizzano Cloudflare Turnstile per nascondere i domini agli scanner di URL statici, complicando ulteriormente i tentativi di rilevamento. L’attività si distingue anche per l’impiego di tecniche di phishing Adversary-in-the-Middle (AitM), che sottraggono sia le credenziali sia i codici di autenticazione a due fattori (2FA), riproducendo pagine di login identiche a quelle originali.
“L’uso di codici QR per reindirizzare le vittime a siti di phishing pone una sfida considerevole per i difensori della sicurezza”, osserva Alcantara. “Poiché l’URL è incorporato in un’immagine, gli scanner di e-mail che analizzano solo testo possono essere facilmente ingannati. Inoltre, quando una vittima scansiona un codice QR con un dispositivo mobile, spesso meno protetto rispetto a laptop o desktop, si espone a rischi maggiori.”
Non è la prima volta che Microsoft Sway viene sfruttato per attacchi di phishing. Già nell’aprile 2020, Group-IB aveva documentato una campagna chiamata PerSwaysion, che aveva compromesso gli account e-mail aziendali di oltre 150 dirigenti in Germania, Regno Unito, Paesi Bassi, Hong Kong e Singapore.
Questo nuovo sviluppo arriva in un momento in cui le campagne di quishing stanno diventando sempre più sofisticate. Mentre i fornitori di sicurezza affinano le loro tecnologie di rilevamento, gli aggressori rispondono con nuove tecniche, come il “Unicode QR Code Phishing“.
J. Stephen Kowski, CTO di SlashNext, sottolinea come questi codici QR, composti interamente da caratteri Unicode, riescano a bypassare le tradizionali misure di sicurezza. Questi codici appaiono normali sugli schermi, ma risultano diversi quando visualizzati come testo, rendendo ancora più complessi i tentativi di rilevamento.
Silvia Felici
Copyright @ 2003 – 2024 RED HOT CYBER
PIVA 16821691009