Los investigadores de ciberseguridad han observado un aumento en las campañas de phishing que aprovechan los códigos QR para entregar cargas útiles maliciosas.
Esta amenaza emergente, a menudo denominada “quising”, explota la naturaleza opaca de los códigos QR para ocultar las URL dañinas que redirigen a las víctimas a sitios de recolección de credenciales o descargas de malware.
A diferencia de los enlaces de phishing tradicionales que se pueden marcar por las puertas de enlace de correo electrónico, los códigos QR requieren un escaneo visual del usuario final, típicamente en un dispositivo móvil, circulando controles de seguridad de escritorio y expandir la ventana de oportunidad del atacante.
Las primeras instancias aparecieron en las explosiones genéricas de correo masivo que se presentan como notificaciones de cuentas de rutina de proveedores de servicios conocidos.
Sin embargo, los atacantes han refinado rápidamente sus tácticas, adaptan los mensajes a objetivos específicos e incrustando códigos QR dentro de imágenes aparentemente inocuas.
En una campaña, un actor de amenaza se hizo pasar por un proveedor líder de almacenamiento en la nube, lo que incitó a los destinatarios a “escanear para verificar la actividad de la cuenta”.
Al escanear, el código QR se resolvió a un portal de inicio de sesión falso meticulosamente elaborado para reflejar el HTML y JavaScript del sitio legítimo.
Analistas de Barracuda anotado Esta ola inicial de ataques de quisción se basó en gran medida en la ingeniería social en lugar de la sofisticación técnica.
A medida que los defensores comenzaron a reconocer y bloquear los simples ataques del código QR, los adversarios intensificaron sus técnicas.
Los códigos QR divididos surgieron como un método más sigiloso, dividiendo un solo código en dos fragmentos de imagen separados que parecen benignos cuando se ve de forma independiente.
Ejemplo de código QR dividido (fuente – Barracuda)
Los escáneres de correo electrónico que inspeccionan los archivos adjuntos de imágenes generalmente pierden dos imágenes parciales, pero cuando se renderizan en un correo electrónico HTML, recombinan visualmente en un patrón QR escaneable. Las víctimas que escanean el código compuesto son redirigidas a sitios diseñados para recolectar credenciales o implementar cargas útiles secundarias.
Evasión de detección a través de códigos QR anidados
Más allá de la división, los últimos kits de búsqueda emplean códigos QR anidados para ofuscar aún más los enlaces maliciosos.
Un código anidado consiste en un QR interno y benigno que apunta a una URL inofensiva (por ejemplo, Google), rodeada por un código exterior que dirige a un dominio de phishing.
Este enfoque de doble capa genera resultados de decodificación ambiguos: los lectores de QR estándar a menudo predeterminados al código interno, mientras que los decodificadores más sofisticados pueden extraer la carga útil externa.
Los atacantes explotan esta ambigüedad para evitar las herramientas de análisis QR que carecen de la capacidad de interpretar múltiples capas dentro de un solo cuadro.
Ejemplo de código QR anidado (Fuente – Barracuda)
Para ilustrar, el siguiente fragmento de Python utiliza la biblioteca Pyzbar para decodificar imágenes QR en capas y resaltar ambas cargas útiles:–
de la imagen de importación de pil de pyzbar.pyzbar import lo img = image.open (‘nested_qr_code.png’) resultados = decode (img) para res en resultados: print (f’data: {res.data.decode ()}, type: {res.type} ‘)
Los defensores deben adoptar soluciones de IA multimodales capaces de hacer imágenes, aislar patrones de píxeles y realizar la ejecución de enlaces de sandboxed.
A medida que las organizaciones refuerzan los filtros de spam y hacen cumplir la autenticación multifactor, los atacantes sin duda continuarán innovando. La vigilancia, las defensas en capas y la capacitación de los usuarios siguen siendo críticas para contrarrestar esta amenaza en evolución.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
