Check Point: ataques de phishing baseados em QR Codes aumentaram 587%

Os pesquisadores da Check Point Research (CPR), divisão de inteligência de ameaças da Check Point Software, comprovaram um aumento inesperado de ataques de phishing baseados em QR Codes de 587% entre agosto e setembro do ano passado.

Esses ataques eram todos bastante semelhantes e o principal objetivo era induzir o usuário a digitalizar o código, momento em que seria redirecionado para uma página de roubo de credenciais. Embora simples, o ataque foi bem-sucedido porque muitas soluções de segurança de e-mail não tinham proteção de QR Codes e muitos usuários estão habituados a escanear os códigos regularmente.

“Os fornecedores de segurança ampliaram esforços para desenvolver novas proteções contra esses ataques. E, como sempre acontece, os agentes de ameaças responderam com uma nova variação dos ataques com QR Codes”, aponta Jeremy Fuchs, pesquisador e analista de cibersegurança na Check Point Software para solução Harmony Email.

Em tais ataques, os hackers utilizam os QR Codes de uma forma diferente. A solicitação inicial é semelhante, mas para onde a cadeia de redirecionamento vai é bastante diferente. Em resumo, o link procura onde o usuário está interagindo com ele e se ajusta em conformidade. Se o usuário estiver usando um Mac, aparece um tipo de link, enquanto se estiver em smartphone Android, aparece de outra maneira.

O objetivo final é o mesmo: instalar malwares no dispositivo do usuário final e, ao mesmo tempo, roubar credenciais. Porém, ao ajustar o destino com base na forma como o usuário está acessando, a taxa de sucesso é muito maior. Em um período de duas semanas em janeiro deste ano, aproximadamente 20 mil ataques desta maneira foram registrados.

A seguir, os pesquisadores da Check Point Software explicam sobre esse ataque, no qual os hackers enviam QR Codes com roteamento condicional baseado no dispositivo.

 Vetor de ataque: E-mail
 Tipo: QR Code, redirecionamento condicional, coleta de credenciais
 Técnicas: Engenharia social, BEC 3.0
 Alvo: Qualquer usuário final

Exemplo de e-mail
O e-mail analisado começa como um ataque de phishing baseado em um QR Code bastante comum. A solicitação é para visualizar o extrato anual de contribuições 401k (plano de aposentadoria nos Estados Unidos), escaneando o QR Code, que lhe mostrará o saldo da conta para o ano. O interessante deste ataque é o que acontece em seguida.

O QR Code tem um ponto de destino condicional, com base no navegador, dispositivo, tamanho da tela e mais. Dependendo dos parâmetros, o QR Code direcionaria para uma página diferente.

Essencialmente, existem quatro camadas de ocultação. Uma é o próprio código QR. A URL incorporada no QR Code parece ter como destino um domínio da Apple, entretanto o usuário é redirecionado para outro local. Na sequência, há um redirecionamento cego para outro domínio. Este, por sua vez, apresenta verificações automáticas para ver se o usuário estava em um navegador ou se veio de um mecanismo de varredura para, então, ser redirecionado em conformidade.

“Também há um payload que possui técnicas de proteção contra engenharia reversa, de modo que, se você tentar tirar a ofuscação, consumirá recursos infinitos”, diz Fuchs.

Em outro exemplo de e-mail há uma série de atividades suspeitas associadas a ele, mais uma vez em torno de um link a um programa para drenar continuamente os recursos. Também leva o usuários a uma falsa página de login da Microsoft.

Em todos estes casos, o link no QR Code e o link para o qual o usuário é redirecionado são diferentes.

Técnicas
O Business Email Compromise (BEC) passou por uma evolução bastante rápida. O redirecionamento num ataque não é necessariamente novo, embora a sua utilização nos QR Codes seja atraente.

Ao navegar pelo redirecionamento condicional, os hackers conseguem aumentar a sua capacidade de sucesso. Normalmente, as camadas de segurança padrão analisam um redirecionamento e, se a primeira estiver limpa, deixam passar (foi o que aconteceu neste ataque).

É aqui que entra em jogo o poder de uma solução de segurança completa. Por meio desta solução, várias camadas podem funcionar para evitar estes ataques.

Neste exemplo, uma solução de segurança de e-mail pode bloquear o ataque, analisando comportamentos suspeitos, como o remetente inicial e a análise de texto. A segurança do navegador pode bloqueá-lo inspecionando o site e emulando quaisquer ações, enquanto a segurança móvel pode bloqueá-lo após a digitalização efetiva do QR Code. O antimalware pode emular o arquivo e compreender o que vai acontecer. A segurança pós-entrega pode analisar continuamente novas informações, analisando e emulando continuamente a URL.

Esses ataques são difíceis de deter porque comprometem muitas camadas diferentes. No entanto, ao ter todas as camadas, a capacidade de deter o ataque aumenta.

Melhores práticas: orientações e recomendações
Para se proteger contra esses ataques, os profissionais de segurança precisam:

 Implementar segurança que usa IA para analisar vários indicadores de phishing;
 Implementar segurança com a capacidade de decodificar ataques de QR Code;
 Implementar segurança com múltiplas camadas de proteção.