Os invasores visaram uma grande empresa de energia dos EUA com uma campanha de phishing que, no geral, enviou mais de 1.000 e-mails armados com códigos QR maliciosos com o objetivo de roubar credenciais da Microsoft.
A campanha, descoberta pela Cofense em maio, usou anexos de imagem PNG e links de redirecionamento associados ao Microsoft Bing e aplicativos de negócios conhecidos – incluindo Salesforce e serviços Web3 da CloudFlare – com códigos QR incorporados, revelaram os pesquisadores em um post publicado hoje .
As mensagens usavam iscas destinadas a promover um senso de urgência, falsificando os alertas de segurança da Microsoft e alegando que os destinatários eram obrigados a atualizar as configurações de segurança de suas contas associadas à autenticação de dois fatores (2FA) e autenticação multifator (MFA), entre outros. As imagens e os links incluídos nas mensagens acabaram por enviar as vítimas para uma página de phishing de credenciais da Microsoft.
Embora a campanha tenha afetado vários setores, uma importante empresa de energia dos EUA recebeu a maior parte dos e-mails de phishing, com funcionários recebendo mais de 29% dos mais de 1.000 e-mails contendo códigos QR maliciosos. As outras quatro principais indústrias visadas incluíam manufatura, recebendo 15% das mensagens de phishing; seguros (9%), tecnologia (7%) e serviços financeiros (6%). A Cofense não revelou o nome da empresa de energia.
Além disso, a campanha, que está em andamento, está se espalhando rapidamente. O volume da campanha aumentou mais de 2.400% desde maio, com percentual médio de crescimento mensal superior a 270%, segundo a Cofense.
“A campanha representa o que poderia ter sido uma fase de teste de eficácia em meados/final de junho”, explica Nathaniel Raymond, analista de inteligência de ameaças cibernéticas da Cofense e redator do relatório. “Então, a Cofense observou um aumento considerável nos códigos QR sendo usados para phishing de credenciais por um breve período”.
Em meados de julho, no entanto, os pesquisadores observaram uma tendência ascendente constante no uso do código QR que se estendeu até agosto, acrescenta ele.
Raro, mas bem-sucedido
Os invasores geralmente não usam códigos QR em e-mails de phishing, principalmente porque eles exigem uma etapa extra em termos de envolvimento com a vítima para cair em uma isca e, portanto, podem prejudicar a chance de sucesso.
“Os códigos QR são incomuns de se ver, especialmente em campanhas de phishing maiores , pois eles se limitam a fornecer phishing de credenciais por meio de um dispositivo com recursos de digitalização, como um dispositivo móvel”, diz Raymond.
Ainda assim, eles têm várias vantagens em relação ao simples envio de um link de phishing ou arquivo malicioso embutido diretamente em um e-mail, diz ele. Isso porque os métodos de entrega de código QR têm uma chance muito maior de chegar a uma caixa de entrada.
“Esta campanha faz uso de um PDF ou anexo de arquivo de imagem com o código QR incorporado”, diz Raymond. “Isso torna mais fácil para os e-mails contornar os Secure Email Gateways (SEGs). Como os SEGs normalmente não são capazes de escanear códigos QR, mas são capazes de escanear links, os códigos QR têm uma vantagem imediata sobre as campanhas normais de phishing de credenciais.”
A maior parte dos e-mails de phishing da campanha contém anexos de imagem PNG que fornecem links de phishing de credenciais da Microsoft ou redirecionamentos de phishing por meio de um código QR incorporado, sendo a maioria URLs de redirecionamento do Bing, descobriram os pesquisadores. Embora o Bing seja um domínio legítimo de propriedade da Microsoft – e esses URLs foram originalmente destinados a fins de marketing – eles também podem ser usados para fins maliciosos.
Não digitalize esse código QR
Treinar funcionários para detectar técnicas avançadas de phishing à medida que evoluem pode ajudar a impedir que os alvos sejam enganados.
“Quando se trata de códigos QR e como eles são incomuns nas operações diárias de e-mail, um funcionário treinado suspeitaria imediatamente”, diz Raymond. “Como tal, é imperativo que o treinamento regular dos funcionários seja implementado.”
Na verdade, a maneira mais fácil de evitar ser comprometido por uma campanha de phishing que usa códigos QR é não escanear códigos desconhecidos de usuários desconhecidos encontrados em e-mails que aparecem na conta corporativa de uma pessoa.
“Em termos de conselho geral, isso é simplesmente uma extensão de ‘não clique em links nos quais você não confia'”, diz Raymond. “Não siga links, especialmente de códigos QR digitalizados, a menos que você confie neles.”
FONTE: DARKREADING