แคมเปญ QR Code Phishing ครั้งใหญ่ได้ใช้ประโยชน์จาก Microsoft Sway ซึ่งเป็นเครื่องมือที่ใช้ในการสร้างงานนำเสนอออนไลน์บน Cloud เพื่อเป็นที่โฮสต์หน้าเพจสำหรับหลอกลวงเอาข้อมูล credentials ของผู้ใช้งาน Microsoft 365
Netskope Threat Labs ตรวจพบการโจมตีดังกล่าวในเดือนกรกฎาคม 2024 หลังจากตรวจพบการโจมตีที่เพิ่มขึ้นอย่างมากถึง 2,000 เท่าโดยใช้ Microsoft Sway เพื่อโฮสต์เพจ phishing ที่ขโมยข้อมูล credentials ของ Microsoft 365 การเพิ่มขึ้นนี้แตกต่างอย่างมากจากที่รายงานในช่วงครึ่งปีแรก ซึ่งแสดงให้เห็นถึงขอบเขตขนาดใหญ่ของแคมเปญนี้
เป้าหมายหลักของการโจมตีนี้คือผู้ใช้ในเอเชีย และอเมริกาเหนือ โดยเฉพาะในอุตสาหกรรมเทคโนโลยี, การผลิต และการเงินที่เป็นเป้าหมายมากที่สุด
อีเมลที่ส่งไปยังเหยื่อจะนำไปยังหน้าเพจฟิชชิ่งที่โฮสต์บนโดเมน sway.cloud.microsoft ซึ่งเพจเหล่านี้จะหลอกให้เป้าหมายสแกนโค้ด QR ที่จะนำไปยังเว็บไซต์ที่เป็นอันตรายอื่น ๆ
ผู้โจมตีใช้วิธีหลอกให้เหยื่อสแกน QR Code โดยใช้โทรศัพท์มือถือ เนื่องจากจะมีมาตรการรักษาความปลอดภัยที่ต่ำกว่า ทำให้มีโอกาสสูงที่จะหลบเลี่ยงการควบคุมความปลอดภัย และอนุญาตให้เข้าถึงเว็บไซต์ phishing ได้โดยไม่มีข้อจำกัด
นักวิจัยด้านความปลอดภัยอธิบายว่า “เนื่องจาก URL ถูกฝังอยู่ในรูปภาพ จึงสามารถหลีกเลี่ยงโปรแกรมสแกนอีเมลที่สามารถสแกนเนื้อหาที่เป็นข้อความเท่านั้นได้ นอกจากนี้เมื่อผู้ใช้ได้รับ QR Code ผู้ใช้อาจใช้อุปกรณ์อื่น เช่น โทรศัพท์มือถือ เพื่อสแกน QR Code”
“เนื่องจากมาตรการรักษาความปลอดภัยที่นำมาใช้บนอุปกรณ์มือถือ โดยเฉพาะโทรศัพท์ส่วนตัว มักจะไม่เข้มงวดเท่ากับแล็ปท็อป และเดสก์ท็อป เหยื่อจึงมีความเสี่ยงต่อการถูกโจมตีมากขึ้น”
ผู้โจมตีใช้กลวิธีต่าง ๆ เพื่อเพิ่มประสิทธิภาพของแคมเปญ เช่น transparent phishing โดยขโมยข้อมูล credentials และรหัสยืนยันตัวตนหลายปัจจัย (MFA) และใช้ข้อมูลเหล่านั้นในการเข้าสู่บัญชี Microsoft ของเหยื่อ ในขณะที่แสดงหน้าเข้าสู่ระบบที่ถูกต้อง
ผู้โจมตียังใช้ Cloudflare Turnstile ซึ่งเป็นเครื่องมือที่ออกแบบมาเพื่อปกป้องเว็บไซต์จากบอท เพื่อซ่อนเนื้อหา phishing ของหน้าเพจจากการสแกนแบบ Static ช่วยรักษาความคงอยู่ของโดเมนฟิชชิ่ง และหลีกเลี่ยงการถูกบล็อกโดยบริการตรวจสอบเว็บ เช่น Google Safe Browsing
Microsoft Sway ถูกนำมาใช้ในแคมเปญฟิชชิ่ง PerSwaysion ที่เกิดขึ้นเมื่อห้าปีที่แล้ว โดยมีเป้าหมายในการขโมยข้อมูลการเข้าสู่ระบบ Office 365 โดยใช้ชุดฟิชชิ่งที่มีให้บริการในรูปแบบการให้บริการมัลแวร์ (MaaS)
ตามที่นักวิจัยด้านความปลอดภัยของ Group-IB เปิดเผยในขณะนั้น การโจมตีเหล่านั้นได้หลอกลวงบุคคลระดับสูงอย่างน้อย 156 คนในบริษัทที่ให้บริการทางการเงินขนาดเล็ก และขนาดกลาง บริษัทกฎหมาย และกลุ่มอสังหาริมทรัพย์
Group-IB ระบุว่ามีบัญชี Office 365 กว่า 20 บัญชีที่ถูกขโมยข้อมูล ซึ่งเป็นของผู้บริหาร, ประธาน และกรรมการผู้จัดการในองค์กรต่าง ๆ ในสหรัฐอเมริกา, แคนาดา, เยอรมนี, สหราชอาณาจักร, เนเธอร์แลนด์, ฮ่องกง และสิงคโปร์
ที่มา : Bleepingcomputer
You must be logged in to post a comment.