近期，一個(gè)大規(guī)模的網(wǎng)絡(luò)釣魚(yú)活動(dòng)利用Microsoft Sway這一云基礎(chǔ)的在線演示工具來(lái)搭建登陸頁(yè)面，目的是為了誘使Microsoft 365用戶泄露他們的登錄憑證。

2024年7月，Netskope的安全威脅實(shí)驗(yàn)室發(fā)現(xiàn)，通過(guò)Microsoft Sway托管的釣魚(yú)網(wǎng)頁(yè)數(shù)量激增，與今年上半年相比，增長(zhǎng)了驚人的2000倍。這種急劇上升的趨勢(shì)與此前的低活動(dòng)水平形成了鮮明對(duì)比，更加凸顯了這次攻擊活動(dòng)的規(guī)模。

該活動(dòng)主要針對(duì)亞洲和北美地區(qū)的用戶，特別是技術(shù)、制造和金融行業(yè)，這些行業(yè)成為攻擊者的主要目標(biāo)。

攻擊者通過(guò)電子郵件將潛在的受害者引導(dǎo)至由sway.cloud.microsoft域名托管的釣魚(yú)登陸頁(yè)面。這些頁(yè)面誘導(dǎo)目標(biāo)用戶掃描QR碼，進(jìn)而將他們重定向到其他惡意網(wǎng)站。

攻擊者傾向于鼓勵(lì)用戶使用移動(dòng)設(shè)備掃描這些二維碼，因?yàn)橐苿?dòng)設(shè)備的安全防護(hù)通常較弱，這增加了他們繞過(guò)安全措施、無(wú)障礙訪問(wèn)釣魚(yú)網(wǎng)站的可能性。

安全研究人員指出：由于URL被嵌入到圖片中，那些只能掃描文本內(nèi)容的電子郵件掃描器將無(wú)法識(shí)別。此外，當(dāng)用戶收到二維碼時(shí)，他們可能會(huì)選擇使用手機(jī)等移動(dòng)設(shè)備進(jìn)行掃描。

“移動(dòng)設(shè)備，尤其是個(gè)人手機(jī)，其實(shí)施的安全措施通常沒(méi)有筆記本電腦和臺(tái)式機(jī)那么嚴(yán)格，這使得用戶更容易成為攻擊的目標(biāo)?！毖芯咳藛T進(jìn)一步解釋道。

微軟 Sway 網(wǎng)絡(luò)釣魚(yú)頁(yè)面示例（來(lái)源：Netskope）

攻擊者采取了多種手段來(lái)提高其釣魚(yú)活動(dòng)的成功率，例如通過(guò)透明釣魚(yú)手段，他們盜取了用戶的憑證和多因素認(rèn)證碼，并在向用戶展示合法登錄頁(yè)面的同時(shí)，使用這些信息登錄用戶的Microsoft賬戶。

他們還使用了Cloudflare Turnstile這一旨在防止機(jī)器人訪問(wèn)的工具，來(lái)隱藏其釣魚(yú)登陸頁(yè)面的內(nèi)容，避免靜態(tài)掃描器的檢測(cè)。這有助于保持釣魚(yú)域名的良好信譽(yù)，并防止被諸如Google Safe Browsing之類的網(wǎng)絡(luò)過(guò)濾服務(wù)所屏蔽。

Microsoft Sway在五年前的PerSwaysion釣魚(yú)活動(dòng)中也遭到了濫用，該活動(dòng)通過(guò)一個(gè)在惡意軟件即服務(wù)（MaaS）業(yè)務(wù)中提供的釣魚(yú)套件，針對(duì)Office 365的登錄憑證。

Group-IB的安全研究人員當(dāng)時(shí)揭露，這些攻擊至少欺騙了156位在中小型金融服務(wù)公司、律師事務(wù)所和房地產(chǎn)集團(tuán)中擔(dān)任高級(jí)職位的人員。

Group-IB表示，在所有被“收割” 的Office 365賬戶中，有超過(guò)20%是來(lái)自美國(guó)、加拿大、德國(guó)、英國(guó)、荷蘭、中國(guó)香港和新加坡等國(guó)家或地區(qū)的組織中的高級(jí)執(zhí)行官、總裁和常務(wù)董事。