Se observó una campaña de phishing dirigida principalmente a una empresa de energía notable en los EE. UU., que empleaba códigos QR para deslizar correos electrónicos maliciosos en las bandejas de entrada y eludir la seguridad.
Aproximadamente un tercio (29 %) de los 1000 correos electrónicos atribuidos a esta campaña se dirigieron a una gran empresa de energía de EE. UU., mientras que los intentos restantes se realizaron contra empresas de manufactura (15 %), seguros (9 %), tecnología (7 %). y servicios financieros (6%).
Según Cofense, quien detectó esta campaña, esta es la primera vez que se utilizan códigos QR a esta escala, lo que indica que más actores de phishing pueden estar probando su efectividad como vector de ataque.
Cofense no nombró a la empresa de energía objetivo de esta campaña, pero la clasificó como una empresa ‘importante’ con sede en EE. UU.
Códigos QR en phishing
Cofense dice que el ataque comienza con un correo electrónico de phishing que afirma que el destinatario debe tomar medidas para actualizar la configuración de su cuenta de Microsoft 365.
Los correos electrónicos llevan archivos adjuntos PNG o PDF con un código QR que se solicita al destinatario que escanee para verificar su cuenta. Los correos electrónicos también indican que el objetivo debe completar este paso en 2 o 3 días para agregar un sentido de urgencia.
Los actores de amenazas usan códigos QR incrustados en imágenes para eludir las herramientas de seguridad de correo electrónico que escanean un mensaje en busca de enlaces maliciosos conocidos, lo que permite que los mensajes de phishing lleguen a la bandeja de entrada del objetivo.
Para evadir la seguridad, los códigos QR de esta campaña también usan redireccionamientos en Bing, Salesforce y los servicios Web3 de Cloudflare para redirigir a los objetivos a una página de phishing de Microsoft 365.
Ocultar la URL de redirección en el código QR, abusar de los servicios legítimos y usar la codificación base64 para el enlace de phishing ayuda a evadir la detección y atravesar los filtros de protección de correo electrónico.
Fuente: https://www.bleepingcomputer.com/news/security/major-us-energy-org-targeted-in-qr-code-phishing-attack/