Los investigadores han observado a un atacante que utiliza una técnica que no habían visto anteriormente para intentar infiltrar correos electrónicos de phishing más allá de los filtros de seguridad empresarial.

Abnormal Security, que informó sobre la campaña esta semana, dice que entre el 15 de septiembre y el 13 de octubre detectó y bloqueó unos 200 correos electrónicos que contenían un código QR, en lugar del adjunto malicioso habitual o el enlace URL, para intentar llevar a los usuarios a un phishing. sitio web.

Los correos electrónicos contenían un mensaje que describía que el código QR ofrecía acceso a un correo de voz perdido y parecía diseñado para eludir los escaneos de la puerta de enlace de correo electrónico empresarial que generalmente solo están diseñados para detectar archivos adjuntos y enlaces maliciosos.

Todas las imágenes de códigos QR que Anormal detectado fueron creados el mismo día en que fueron enviados. Esto hizo que fuera poco probable que los códigos QR, incluso si hubieran sido detectados, hubieran sido previamente reportados e incluidos en cualquier lista negra de seguridad, dijo el proveedor de seguridad en sus hallazgos.

«El uso de códigos QR en correos electrónicos de phishing es bastante raro», dice Crane Hassold, director de inteligencia de amenazas en Abnormal Security. En el pasado, los actores de amenazas han utilizado imágenes que parecían ser códigos QR pero que, de hecho, eran hipervínculos a un sitio de phishing. Algunos operadores de phishing también han utilizado códigos QR en ubicaciones físicas para intentar llevar a los usuarios a un sitio web malicioso.

«Pero esta es la primera vez que vemos a un actor incrustar un código QR funcional en un correo electrónico», dice Hassold.

El Better Business Bureau (BBB) ​​advirtió en julio de un aumento reciente de las quejas de los consumidores sobre estafas que involucran el uso de códigos QR. Debido a que los códigos no pueden ser leídos por el ojo humano, los atacantes los utilizan cada vez más para disfrazar enlaces maliciosos, dijo BBB.

Los atacantes están distribuyendo códigos QR maliciosos a través de mensajes directos en las redes sociales, mensajes de texto, correo físico, folletos impresos y correo electrónico, señaló. Los usuarios que escanean los códigos utilizando sus teléfonos móviles son dirigidos a sitios web de phishing que están diseñados para recopilar información personal y credenciales de inicio de sesión, seguir automáticamente una cuenta de red social maliciosa o iniciar una aplicación de pago.

«Además, las direcciones de Bitcoin a menudo se envían a través de códigos QR, lo que hace que los códigos QR sean un elemento común en las estafas de criptomonedas», advirtió BBB.

Una encuesta que MobileIron realizó a más de 4.400 personas el año pasado encontró El 84% ha utilizado un código QR antes. Alrededor del 25% de los encuestados dijeron que se habían encontrado con situaciones en las que un código QR, cuando se escaneaba, hacía algo que no esperaban, incluido llevarlos a un sitio web malicioso. Algo más del 37% dijo que podría detectar un código QR malicioso, mientras que casi el 70% dijo que podría detectar una URL de un sitio web de phishing u otro sitio web malicioso.

En la campaña de phishing detectada anormal, los atacantes utilizaron cuentas de correo electrónico de Outlook previamente comprometidas que pertenecen a organizaciones legítimas para enviar los correos electrónicos con códigos QR maliciosos. Cuando se escanearon, los códigos llevaron a los usuarios a páginas de phishing diseñadas para recopilar credenciales de Microsoft que estaban alojadas en un servicio legítimo de encuestas empresariales y conectadas a direcciones IP en los dominios de Google y Amazon. Según los datos disponibles, la campaña parece tener un alcance amplio y no está dirigida a organizaciones o personas específicas.

Hassold dice que si bien el uso de códigos QR podría haber permitido al adversario pasar su correo electrónico más allá de los filtros de seguridad empresarial, no está claro cómo esperaban los atacantes que los destinatarios actuaran una vez que recibieron el correo electrónico. A diferencia de los enlaces y archivos adjuntos maliciosos, no se puede hacer clic ni abrir los códigos QR. Entonces, para que el ataque funcione, el usuario primero necesitaría abrir el correo electrónico en su computadora y luego escanear el código QR con su dispositivo móvil. Si recibieron el correo electrónico en su dispositivo móvil, tendrían que abrirlo en un sistema de escritorio y luego escanear el código QR con su teléfono inteligente u otro dispositivo móvil.

«Si bien estas campañas han sido efectivas para eludir las puertas de enlace de correo electrónico tradicionales, los aspectos prácticos de lograr que un objetivo escanee un código QR con un dispositivo separado parecen crear una barrera que resultaría en una tasa de éxito relativamente baja», dice Hassold. «Estas campañas son excelentes ejemplos, sin embargo, para mostrar cómo los ciberdelincuentes evolucionan constantemente sus tácticas y prueban cosas nuevas para que sus ataques sean más exitosos».

Author

Write A Comment