Didžiulėje QR kodų sukčiavimo kampanijoje buvo piktnaudžiaujama „Microsoft Sway“, debesies pagrindu sukurta internetinių pristatymų kūrimo įrankiu, siekiant priglobti nukreipimo puslapius, siekiant apgauti „Microsoft 365“ vartotojus perduoti savo kredencialus.
Atakas pastebėjo „Netskope Threat Labs“ 2024 m. liepos mėn., kai aptiko dramatišką 2 000 kartų padidėjusį atakų, naudojančių „Microsoft Sway“, priglobti sukčiavimo puslapius, kurie vagia „Microsoft 365“ kredencialus. Šis padidėjimas smarkiai prieštarauja minimaliam aktyvumui, apie kurį pranešta per pirmąjį metų pusmetį, ir parodo didelį šios kampanijos mastą.
Jie pirmiausia buvo skirti vartotojams Azijoje ir Šiaurės Amerikoje, o labiausiai pageidaujami buvo technologijų, gamybos ir finansų sektoriai.
El. laiškai potencialios aukos nukreipė į sukčiavimo nukreipimo puslapius, esančius svetainėje sway.cloud.microsoft domenas, puslapiai, kurie paskatino taikinius nuskaityti QR kodus, kurie juos nusiųstų į kitas kenkėjiškas svetaines.
Užpuolikai dažnai skatina aukas nuskaityti QR kodus naudojant savo mobiliuosius įrenginius, kuriems paprastai taikomos silpnesnės saugos priemonės, taip padidinant galimybę apeiti saugumo kontrolę ir be apribojimų pasiekti sukčiavimo svetaines.
„Kadangi URL yra įterptas vaizde, el. pašto skaitytuvai, galintys nuskaityti tik tekstinį turinį, gali būti apeiti. Be to, kai vartotojas gauna QR kodą, jis gali naudoti kitą įrenginį, pvz., mobilųjį telefoną, kad nuskaitytų kodas“, – paaiškino saugumo tyrėjai.
„Kadangi mobiliuosiuose įrenginiuose, ypač asmeniniuose mobiliuosiuose telefonuose, taikomos saugumo priemonės paprastai nėra tokios griežtos kaip nešiojamieji ir staliniai kompiuteriai, aukos dažnai yra labiau pažeidžiamos dėl piktnaudžiavimo.

Užpuolikai taikė keletą taktikų, kad dar labiau padidintų savo kampanijos efektyvumą, pvz., skaidrų sukčiavimą, kai pavogė kredencialus ir kelių veiksnių autentifikavimo kodus ir naudojo juos, kad prisijungtų prie „Microsoft“ paskyrų, parodydami jiems teisėtą prisijungimo puslapį.
Jie taip pat naudojo „Cloudflare Turnstile“ – įrankį, skirtą svetainėms apsaugoti nuo robotų, kad paslėptų nukreipimo puslapių sukčiavimo turinį nuo statinių skaitytuvų, taip padėdami išlaikyti gerą sukčiavimo domeno reputaciją ir išvengti užblokavimo naudojant žiniatinklio filtravimo paslaugas, pvz., „Google“ saugų naršymą.
„Microsoft Sway“ taip pat buvo piktnaudžiaujama vykdant „PerSwaysion“ sukčiavimo kampaniją, kuri prieš penkerius metus buvo skirta „Office 365“ prisijungimo kredencialams, naudojant sukčiavimo rinkinį, siūlomą atliekant kenkėjiškų programų kaip paslaugos (MaaS) operaciją.
Kaip tuomet atskleidė IB grupės saugumo tyrinėtojai, šios atakos apgavo mažiausiai 156 aukšto rango asmenis mažose ir vidutinėse finansinių paslaugų įmonėse, advokatų kontorose ir nekilnojamojo turto grupėse.
„Group-IB“ teigė, kad daugiau nei 20 visų surinktų „Office 365“ paskyrų priklauso JAV, Kanados, Vokietijos, JK, Nyderlandų, Honkongo ir Singapūro organizacijų vadovams, prezidentams ir vykdomiesiems direktoriams.