Silvia Felici : 2 Settembre 2024 08:27
I ricercatori di cybersecurity hanno scoperto una nuova e allarmante minaccia: una campagna di phishing basata su codici QR, chiamata “quishing“. Questo attacco sfrutta in modo ingegnoso l’infrastruttura di Microsoft Sway, un popolare strumento cloud per la creazione di presentazioni e documenti, per ospitare pagine fraudolente. Questa scoperta mette in luce un pericolo insidioso: anche i servizi cloud più affidabili possono essere trasformati in potenti armi nelle mani dei cybercriminali.
“Utilizzando applicazioni cloud riconosciute, gli attaccanti riescono a infondere fiducia nelle vittime, che si sentono più sicure nell’interagire con i contenuti forniti“, spiega Jan Michael Alcantara, ricercatore presso Netskope Threat Labs. “Quando una vittima apre una pagina Sway (Pagina web interattiva), spesso lo fa già autenticata con il proprio account Microsoft 365, il che può contribuire a legittimare l’attacco agli occhi dell’utente. Sway, inoltre, può essere facilmente condiviso tramite link o incorporato in un sito web tramite un tag iframe.”
Gli attacchi hanno preso di mira principalmente utenti in Asia e Nord America, con particolare attenzione ai settori della tecnologia, della produzione e della finanza.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Microsoft Sway, lanciato nel 2015, è uno strumento cloud-based per la creazione di newsletter, presentazioni e documentazione. Secondo quanto riportato da una nota azienda di sicurezza, si è registrato un aumento di 2.000 volte nel traffico verso pagine di phishing uniche ospitate su Sway a partire da luglio 2024. L’obiettivo di questi attacchi è rubare le credenziali degli utenti Microsoft 365, utilizzando falsi codici QR che, una volta scansionati, reindirizzano a siti web di phishing.
In alcune di queste campagne di quishing, gli aggressori utilizzano Cloudflare Turnstile per nascondere i domini agli scanner di URL statici, complicando ulteriormente i tentativi di rilevamento. L’attività si distingue anche per l’impiego di tecniche di phishing Adversary-in-the-Middle (AitM), che sottraggono sia le credenziali sia i codici di autenticazione a due fattori (2FA), riproducendo pagine di login identiche a quelle originali.
“L’uso di codici QR per reindirizzare le vittime a siti di phishing pone una sfida considerevole per i difensori della sicurezza”, osserva Alcantara. “Poiché l’URL è incorporato in un’immagine, gli scanner di e-mail che analizzano solo testo possono essere facilmente ingannati. Inoltre, quando una vittima scansiona un codice QR con un dispositivo mobile, spesso meno protetto rispetto a laptop o desktop, si espone a rischi maggiori.”
Non è la prima volta che Microsoft Sway viene sfruttato per attacchi di phishing. Già nell’aprile 2020, Group-IB aveva documentato una campagna chiamata PerSwaysion, che aveva compromesso gli account e-mail aziendali di oltre 150 dirigenti in Germania, Regno Unito, Paesi Bassi, Hong Kong e Singapore.
Questo nuovo sviluppo arriva in un momento in cui le campagne di quishing stanno diventando sempre più sofisticate. Mentre i fornitori di sicurezza affinano le loro tecnologie di rilevamento, gli aggressori rispondono con nuove tecniche, come il “Unicode QR Code Phishing“.
J. Stephen Kowski, CTO di SlashNext, sottolinea come questi codici QR, composti interamente da caratteri Unicode, riescano a bypassare le tradizionali misure di sicurezza. Questi codici appaiono normali sugli schermi, ma risultano diversi quando visualizzati come testo, rendendo ancora più complessi i tentativi di rilevamento.
Silvia FeliciAnthropic ha rilasciato Claude Opus 4.5 , il suo nuovo modello di punta, che, secondo l’azienda, è la versione più potente finora rilasciata e si posiziona al vertice della categoria nella program...
Il lavoro da remoto, ha dato libertà ai dipendenti, ma con essa è arrivata anche la sorveglianza digitale. Ne abbiamo parlato qualche tempo fa in un articolo riportando che tali strumenti di monitor...
ROMA – La profonda crisi istituzionale che ha investito l’Autorità Garante per la Protezione dei Dati Personali ha spinto Guido Scorza, componente del Collegio, a un intervento pubblico mirato a ...
Negli ultimi anni, il panorama della sicurezza informatica in Italia ha visto una preoccupante escalation di attacchi, con un aumento significativo dei crimini informatici. Un fenomeno particolarmente...
Quest’autunno, abbiamo avuto un bel po’ di grattacapi con il cloud, non so se ci avete fatto caso. Cioè, AWS, Azure, e dopo Cloudflare. Tutti giù, uno dopo l’altro. Una sfilza di interruzioni ...
