Microsoft Sway, Giriş Kimlik Bilgilerini Çalmak İçin Tehdit Aktörleri Tarafından Kötüye Kullanıldı

Araştırmacılar, Temmuz 2024’te saldırganların kurbanları kötü amaçlı web sitelerine çekmek için QR kodlarını kullandığı, tespit edilmekten kaçınmak ve güvenlik önlemlerini aşmak için şeffaf kimlik avı ve Cloudflare Turnike’yi kullandığı Microsoft Sway üzerinden MS Office kimlik bilgilerini hedef alan kimlik avı saldırılarında önemli bir artış gözlemlediler.

Bu kampanyalar, öncelikli olarak Asya ve Kuzey Amerika’daki çeşitli sektörlerdeki kullanıcıları hedef alarak, gelişmiş güvenlik farkındalığının ve karmaşık kimlik avı taktiklerine karşı korumanın gerekliliğini vurguladı.

Ücretsiz Microsoft 365 uygulaması Microsoft Sway, saldırganlar tarafından kimlik avı içerikleri dağıtmak için kullanılıyor.

Erişim kolaylığı ve Microsoft hesaplarıyla entegrasyonu, onu kötü amaçlı kampanyalar için cazip bir hedef haline getiriyor; çünkü kimlik avı girişimlerinin güvenilirliğini artırabiliyor ve kurbanları içeriğe güvenmeye yönlendirebiliyor.

Free Webinar on Detecting & Blocking Supply Chain Attack -> Book your Spot

Bu artış, Microsoft’un tüm bulut hizmetlerini tek bir etki alanı altında birleştirme kararıyla aynı zamana denk geliyor ve bu durum saldırganların kullandığı stratejilerde bir değişikliğe işaret ediyor olabilir.

Quishing, saldırganların QR kodlarına kötü amaçlı URL’ler yerleştirdiği bir kimlik avı saldırısıdır.

Mağdurlar, kişisel bilgileri çalmak veya cihazlarına kötü amaçlı yazılım bulaştırmak için tasarlanmış sahte web sitelerine yönlendirilen bu QR kodlarını taramaya yönlendiriliyor.

COVID-19 salgını sırasında insanların çeşitli amaçlarla QR kodlarını taramaya alışmasıyla birlikte QR kodlarının kullanımının artmasından yararlanıldı.

Kimlik avı kampanyaları, geleneksel e-posta tarayıcılarını atlatmak ve genellikle daha az sıkı güvenlik önlemlerine sahip olan mobil cihazları hedeflemek için QR kodlarını kullanıyor.

Bu kötü amaçlı QR kodlarını oluşturmak için Google Chrome ve QR Code Generator PRO kullanılıyor ve kurbanları kimlik avı sitelerine yönlendiriyor.

Kimlik avı saldırganları, kimlik avı yüklerini gizleyen, web filtreleme servislerinin bunları engellemesini engelleyen ve iyi bir alan adı itibarını koruyan statik analiz araçlarından kötü amaçlı web sitelerini korumak için Cloudflare Turnstile’ı kullanır.

Ortadaki saldırgan kimlik avı, geleneksel kimlik avından daha gelişmiş bir tekniktir. Sadece kullanıcı kimlik bilgilerini toplamakla kalmaz, aynı zamanda kurbanı meşru hizmete kaydetmeye çalışır, potansiyel olarak çok faktörlü kimlik doğrulamasını atlatır, bu da saldırganların daha fazla yetkisiz erişim için kullanılabilecek hassas belirteçleri veya çerezleri çalmasına olanak tanır.

Netskope’a göre Microsoft Sway, saldırganların Cloudflare Turnstile’ı kullanarak şeffaf kimlik avı yoluyla tespit edilmekten kaçınıp kimlik bilgileri topladığı kimlik avı saldırılarının hedefi haline geldi.

Savunmacılar, yeni Microsoft Sway etki alanını engellemek için güvenlik kontrollerini güncellemelidir.

Kimlik avı girişimleriyle mücadele etmek için şunları kullanın: sallanma.bulut.microsoft Alan adları için kullanıcıların URL’leri doğrulaması ve kritik sitelere doğrudan erişmesi gerekir.

Kuruluşlar, gelişmiş web ve bulut trafiği güvenliği için URL filtrelemeden, tehdit koruma politikalarından ve Uzak Tarayıcı Yalıtımından (RBI) yararlanabilir.

Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial