Durante el verano, vimos un aumento algo inesperado en los ataques de phishing basados en códigos QR.
Todos estos ataques fueron bastante similares. El objetivo principal era inducir al usuario final a escanear el código QR, donde sería redirigido a una página de recolección de credenciales.
Bastante simple, pero tuvo éxito ya que muchas soluciones de seguridad de correo electrónico no tenían protección con códigos QR y muchos usuarios finales están acostumbrados a escanear códigos QR. Es por eso que vimos un aumento del 587% entre agosto y septiembre de estos ataques.
Los proveedores de seguridad trabajaron frenéticamente para desarrollar nuevas protecciones para estos ataques. Y, como siempre sucede, los actores de amenazas respondieron de la misma manera con una nueva variación de los ataques con códigos QR.
En estos ataques, los piratas informáticos utilizan el código QR de una forma diferente. La pregunta inicial es similar, pero el destino de la cadena de redireccionamiento es bastante diferente. En resumen, el enlace busca dónde interactúa el usuario con él y se ajusta en consecuencia. Si el usuario utiliza una Mac, aparece un enlace. Si el usuario está usando un teléfono Android, aparece otro.
El objetivo final es el mismo: instalar malware en el terminal del usuario final y al mismo tiempo robar credenciales. Pero al ajustar el destino en función de cómo accede a él el usuario final, la tasa de éxito es mucho mayor.
En un lapso de dos semanas en enero, vimos poco menos de 20.000 de estos ataques.
En este informe sobre ataques, los investigadores de Harmony Email analizarán cómo los piratas informáticos están llevando los ataques con códigos QR al siguiente nivel.
Ataque
En este ataque, los piratas informáticos envían códigos QR con enrutamiento condicional según el dispositivo.
• Vector: correo electrónico
• Tipo: Código QR, Redirección condicional, Recolección de credenciales
• Técnicas: Ingeniería Social, BEC 3.0
• Objetivo: cualquier usuario final
Lo interesante de este ataque es lo que sucede después.
El Código QR tiene un punto de destino condicional, según el navegador, el dispositivo, el tamaño de la pantalla y más. Dependiendo de los parámetros, el código QR dirigiría a una página diferente.
Esencialmente, existen cuatro capas de ofuscación. Uno es el propio código QR. La URL incrustada en el código QR parece ir a un dominio de Apple, pero en cambio es redirigida a otra parte. Luego hay una redirección ciega a otro dominio. Ese dominio tiene comprobaciones automáticas para ver si proviene de un navegador o un motor de escaneo y lo redireccionará en consecuencia.
También hay una carga útil que tiene técnicas anti-ingeniería inversa, de modo que si intentas desofuscarla, consumirá recursos infinitos.
Técnicas
La redirección en un ataque no es necesariamente nueva, aunque su uso en códigos QR es fascinante.
Al navegar por la redirección condicional, los piratas informáticos pueden aumentar su capacidad de éxito. Normalmente, las capas de seguridad predeterminadas buscarán una redirección y, si la primera está limpia, la dejarán pasar. (Eso es lo que pasó en este ataque).
Aquí es donde entra en juego el poder de una solución de seguridad completa. Con una solución de seguridad completa, pueden funcionar múltiples capas para prevenir estos ataques.
En este ejemplo, una solución de seguridad de correo electrónico puede bloquearlo observando comportamientos sospechosos, como remitente nuevo, análisis de texto y más. La seguridad del navegador puede bloquearlo inspeccionando el sitio web y emulando cualquier acción. La seguridad móvil puede bloquearlo al escanear el código QR. El antimalware puede emular el archivo y comprender lo que sucederá. La seguridad posterior a la entrega puede examinar continuamente nueva información, escanear y emular continuamente la URL.
Estos ataques son difíciles de detener porque comprometen muchas capas diferentes. Sin embargo, tenga todas las capas y aumente la capacidad de detener el ataque.
Mejores prácticas: orientación y recomendaciones
Para protegerse contra estos ataques, los profesionales de la seguridad pueden hacer lo siguiente:
• Implementar seguridad que utilice IA para observar múltiples indicadores de phishing.
• Implementar seguridad con la capacidad de decodificar ataques de códigos QR
• Implementar seguridad con múltiples capas de protección.