Silvia Felici : 2 Settembre 2024 08:27
I ricercatori di cybersecurity hanno scoperto una nuova e allarmante minaccia: una campagna di phishing basata su codici QR, chiamata “quishing“. Questo attacco sfrutta in modo ingegnoso l’infrastruttura di Microsoft Sway, un popolare strumento cloud per la creazione di presentazioni e documenti, per ospitare pagine fraudolente. Questa scoperta mette in luce un pericolo insidioso: anche i servizi cloud più affidabili possono essere trasformati in potenti armi nelle mani dei cybercriminali.
“Utilizzando applicazioni cloud riconosciute, gli attaccanti riescono a infondere fiducia nelle vittime, che si sentono più sicure nell’interagire con i contenuti forniti“, spiega Jan Michael Alcantara, ricercatore presso Netskope Threat Labs. “Quando una vittima apre una pagina Sway (Pagina web interattiva), spesso lo fa già autenticata con il proprio account Microsoft 365, il che può contribuire a legittimare l’attacco agli occhi dell’utente. Sway, inoltre, può essere facilmente condiviso tramite link o incorporato in un sito web tramite un tag iframe.”
Gli attacchi hanno preso di mira principalmente utenti in Asia e Nord America, con particolare attenzione ai settori della tecnologia, della produzione e della finanza.
PARTE LA PROMO ESTATE -40%
RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!
Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Microsoft Sway, lanciato nel 2015, è uno strumento cloud-based per la creazione di newsletter, presentazioni e documentazione. Secondo quanto riportato da una nota azienda di sicurezza, si è registrato un aumento di 2.000 volte nel traffico verso pagine di phishing uniche ospitate su Sway a partire da luglio 2024. L’obiettivo di questi attacchi è rubare le credenziali degli utenti Microsoft 365, utilizzando falsi codici QR che, una volta scansionati, reindirizzano a siti web di phishing.
In alcune di queste campagne di quishing, gli aggressori utilizzano Cloudflare Turnstile per nascondere i domini agli scanner di URL statici, complicando ulteriormente i tentativi di rilevamento. L’attività si distingue anche per l’impiego di tecniche di phishing Adversary-in-the-Middle (AitM), che sottraggono sia le credenziali sia i codici di autenticazione a due fattori (2FA), riproducendo pagine di login identiche a quelle originali.
“L’uso di codici QR per reindirizzare le vittime a siti di phishing pone una sfida considerevole per i difensori della sicurezza”, osserva Alcantara. “Poiché l’URL è incorporato in un’immagine, gli scanner di e-mail che analizzano solo testo possono essere facilmente ingannati. Inoltre, quando una vittima scansiona un codice QR con un dispositivo mobile, spesso meno protetto rispetto a laptop o desktop, si espone a rischi maggiori.”
Non è la prima volta che Microsoft Sway viene sfruttato per attacchi di phishing. Già nell’aprile 2020, Group-IB aveva documentato una campagna chiamata PerSwaysion, che aveva compromesso gli account e-mail aziendali di oltre 150 dirigenti in Germania, Regno Unito, Paesi Bassi, Hong Kong e Singapore.
Questo nuovo sviluppo arriva in un momento in cui le campagne di quishing stanno diventando sempre più sofisticate. Mentre i fornitori di sicurezza affinano le loro tecnologie di rilevamento, gli aggressori rispondono con nuove tecniche, come il “Unicode QR Code Phishing“.
J. Stephen Kowski, CTO di SlashNext, sottolinea come questi codici QR, composti interamente da caratteri Unicode, riescano a bypassare le tradizionali misure di sicurezza. Questi codici appaiono normali sugli schermi, ma risultano diversi quando visualizzati come testo, rendendo ancora più complessi i tentativi di rilevamento.
La presentazione del Walker S2 rappresenta un importante passo avanti nell’autonomia operativa dei robot umanoidi. Grazie alla capacità di sostituire autonomamente la propria batteria, il ...
Secondo quanto riportato da Fast Technology il 18 luglio, Jen-Hsun Huang ha raccontato ai media cinesi le proprie origini, spiegando di essere nato cinese e poi diventato sinoamericano. Ha sottolineat...
Sono state identificate diverse vulnerabilità nei prodotti Cisco Identity Services Engine (ISE) e Cisco ISE Passive Identity Connector (ISE-PIC) che potrebbero consentire a un utente malintenzion...
HackerHood, il team di hacker etici di Red Hot Cyber, ha realizzato qualcosa che raramente si vede fuori dalle conferenze più esclusive: un workshop live in cui viene mostrato, passo dopo passo, ...
Google ha rilasciato un aggiornamento di emergenza per il browser Chrome, eliminando sei vulnerabilità contemporaneamente, una delle quali è già attivamente sfruttata in attacchi reali....
Iscriviti alla newsletter settimanale di Red Hot Cyber per restare sempre aggiornato sulle ultime novità in cybersecurity e tecnologia digitale.
Copyright @ REDHOTCYBER Srl
PIVA 17898011006