Une campagne de phishing par code QR basée sur l’utilisation de Microsoft Sway a été découverte en juillet 2024. Cet outil a été abusé pour héberger des pages de phishing et tromper les utilisateurs de Microsoft 365. Faisons le point.
Pour rappel, Microsoft Sway est un outil en ligne basé sur le Cloud dont l’objectif est de faciliter la création de présentations.
Cette attaque, repérée par Netskope Threat Labs en juillet 2024, a révélé une énorme augmentation de 2000 % des attaques exploitant Microsoft Sway par rapport à la première moitié de l’année, où l’activité était minimale. Sway est utilisé pour héberger des pages de phishing utilisées ensuite pour voler les identifiants Microsoft 365 des utilisateurs.
Les pirates s’appuient sur le service Sway et peuvent donc diffuser des URL valides correspondantes à des pages hébergées sur le domaine « sway.cloud.microsoft. Un domaine légitime puisqu’il s’agit de celui du service de Microsoft.
La présentation Sway intègre ensuite un QR code que l’utilisateur est invité à scanner, et cela le redirigera ensuite vers un autre site malveillant. Nous pouvons parler alors de Quishing, en référence à l’utilisation d’un QR code pour piéger l’utilisateur. Lorsque les utilisateurs scannent un QR code, ils utilisent généralement un smartphone : un appareil souvent moins sécurisé que les ordinateurs, et donc plus vulnérables à ces attaques.
Voici un exemple où nous pouvons voir le soin apporté à l’esthétique de la page créée par les pirates :
Dans le cas présent, la technique dite de phishing transparent utilisée par les attaquants permet le vol des identifiants, mais aussi, les codes de double authentification, grâce à l’affichage d’une page de connexion légitime.
D’après les chercheurs en sécurité, cette campagne cible principalement les utilisateurs situés en Asie et en Amérique du Nord, avec un intérêt particulier pour les secteurs de la technologie, de la fabrication et de la finance. Ce n’est pas la première fois que Microsoft Sway est abusé dans une campagne de phishing : il y a 5 ans, c’était déjà le cas avec la campagne PerSwaysion.