Campaña de Phishing en Microsoft Sway

Microsoft Sway es un programa ampliamente utilizado alrededor del mundo. Su función es la creación de diapositivas o videos en línea, facilitando así el trabajo colaborativo entre los miembros de organizaciones, compañeros, etc. [2]
Recientemente, se ha detectado una nueva campaña de phishing que se aprovecha de este programa para hacer caer a sus víctimas en el engaño. El modo de operar es el siguiente: una vez dentro del sitio suplantado de Microsoft Sway, se pedirá un inicio de sesión, con la peculiaridad de que es por medio de un código QR. A esta técnica de phishing, que utiliza este tipo de códigos, se le denomina “Qhuishing” y es muy efectiva para eludir diversos controles, como los escáneres de correo electrónico, ya que estos tienen dificultades para detectarlo debido a que la URL está incrustada en una imagen. [2] [3] 

Imagen de página suplantadora de Microsoft Sway [2] 

Esta campaña de phishing también utiliza un método de verificación para evitar que bots u otros agentes maliciosos intenten acceder a una página determinada. El servicio es totalmente legítimo y es proporcionado por Cloudflare, lo que lo hace más difícil de detectar para los análisis estáticos de URL. [2] [1] 

La campaña utiliza un método de phishing llamado “phishing transparente”. Este actúa de manera que el código de la página suplantadora es muy parecido al de la original. En lugar de robar las credenciales del usuario y enviarlas a un dominio comprometido para luego redirigir al usuario a una página legítima, este método roba las credenciales e intenta iniciar sesión en el sitio suplantado. Además, solicita los tokens en caso de que la autenticación multifactor esté activa. [2]  

 

Imagen comparativa entre los códigos [2] 

Recomendaciones

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para de ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante).
• Habilitar la autenticación multifactor. 

Referencias

1. Gatlan, S. (2024, Agosto 27) Microsoft Sway abused in massive QR code phishing campaign. Recuperado el 9 de Septiembre del 2024 en: https://www.bleepingcomputer.com/news/security/microsoft-sway-abused-in-massive-qr-code-phishing-campaign/ 
2. Alcantara, J. (2024, Agosto 27) Phishing in Style: Microsoft Sway Abused to Deliver Quishing Attacks. Recuperado el 9 de Septiembre del 2024 en: https://www.netskope.com/blog/phishing-in-style-microsoft-sway-abused-to-deliver-quishing-attacks 
3. Lakshmanan, R. (2024, Agosto 28) New QR Code Phishing Campaign Exploits Microsoft Sway to Steal Credentials. Recuperado el 9 de Septiembre del 2024 en: https://thehackernews.com/2024/08/new-qr-code-phishing-campaign-exploits.html 

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios