SonicWall identifica arquivos PDF com QR Code maliciosos

A SonicWall, provedora de proteção de cibersegurança para forças de trabalho remotas, móveis e na Nuvem, anunciou que a equipe de pesquisa de ameaças do SonicWall Capture Labs identificou arquivos PDF com códigos QR sendo explorados por criminosos digitais. Mais de 2.5 trilhões de arquivos PDFs são criados anualmente – trata-se de um formato criado em 1993 pela Adobe System e que continua extremamente popular. Em 2023, 98% das empresas afirmaram usar esse formato para compartilhamento interno e externo de documentos. Estudo baseado em buscas no Google indica que, em 2014, o PDF era o formato mais usado no mundo, seguido pelo .DOC e .XLS Uma evolução desse padrão é o crescente uso de QR Code no universo PDF. Além de pagamentos e feedback, os códigos QR têm uma ampla gama de aplicações em diversas indústrias, como marketing, varejo, educação, saúde, hospitalidade, transporte, imobiliário, serviços públicos, entretenimento, operações comerciais, uso pessoal etc.

Os desenvolvedores de malware estão aproveitando essa popularidade. “Observamos que muitos arquivos PDF estão vindo de e-mails (fax) contendo códigos QR que pedem aos usuários para escanear com a câmera do smartphone. Alguns afirmam ser atualizações de segurança, enquanto outros contêm links do SharePoint para assinar documentos”, detalha Juan Alejandro Aguirre, diretor de Soluções de Engenharia da SonicWall América Latina.

Código QR

Arquivos PDF maliciosos com código QR

Depois de escanear o código QR, entra em cena uma URL de phishing onde o host, neste caso, é bing.com. “Trata-se de uma estratégia para evitar detecções de segurança”, diz Aguirre. A partir daí, o usuário é redirecionado para a página de phishing criada pelos criminosos digitais.

“hxxps://r[.]g[.]bing[.]com/bam/ac?!&&u=a1aHR0cHM6Ly9ocmVmLmxpLz9odHRwczovL20zYWZzZWN1ci51cy9hdXRoLmh0bWw=#GeXVrYWt1cmVjaGlAbWJrLmNvbQ==”

O link de phishing abre uma página da web que se assemelha muito à página oficial de login da Microsoft.

O próximo passo é os usuários serem solicitados a inserir as credenciais de sua conta Microsoft, como ID de usuário e senha. “O objetivo dos criminosos é coletar essas credenciais para fins maliciosos, como acesso não autorizado ao e-mail do usuário, informações pessoais e Dados corporativos sensíveis”, destaca Aguirre.

Escanear um código QR malicioso pode levar a uma ampla gama de consequências graves; nesses casos, os usuários são solicitados a escanear o código com um smartphone.

Código QR

Captura de tela do escaneamento de um código QR em um smartphone.

A funcionalidade de escaneamento de códigos QR em dispositivos móveis pode ser explorada para realizar ações sem o consentimento explícito do usuário.

Isso inclui:

Download automático e instalação de aplicativos maliciosos.
Usuários podem ser inscritos em serviços de SMS premium, resultando em cobranças inesperadas.
Iniciar chamadas para números de tarifa premium, incorrendo em custos elevados.
Roubo de credenciais.
Ataques de exploração.
Comprometimento da rede.
Danos à reputação.

Proteções SonicWall
“Graças à expertise de nossos técnicos do SonicWall Capture Labs, conseguimos divulgar com rapidez não só o exploit criado por criminosos, mas a solução para essa ameaça”, diz Aguirre. Para garantir que os clientes da SonicWall estejam preparados para qualquer violação que possa ocorrer devido a esse malware, estão disponibilizadas as seguintes assinaturas:

MalAgent.A_1998 (Trojan)

MalAgent.A_1999 (Trojan)

IOCs
68d72745079d00909989c92141255ba530490cd361a26ee1f4083acf35168c45

21bb86d48cf2cfaa3fab305b54b936304a4cdbd60bb84024a3cd8a3eed99abc4

URLs
hxxps://r[.]g[.]bing[.]com/bam/ac?!&&u=a1aHR0cHM6Ly9ocmVmLmxpLz9odHRwczovL20zYWZzZWN1ci51cy9hdXRoLmh0bWw=#GeXVrYWt1cmVjaGlAbWJrLmNvbQ==

hxxps://geszvihbb[.]cc[.]rs6[.]net/tn[.]jsp?f=001Ditptef7aGWV9JfIQAYkZmCN-

wQcHMy3e4wzwbv3vnsaliwycylagGK80Yt9uHp_YVVukara24hbeA_lURHoJmu1Scc_CBtL1Gctc_C9mjtpTa4efbpuN0PD2cc1NoggcgogpAVDLdR-weTmdl8QR4ErgtgM9NX_0e-GLM1eb4IkOGmV3qUSnw==&c=&ch==&__=/p[.]olds@dummenorange[.]com

hxxps://pub-8c469686ecb34304864e58edf5ab4597[.]r2[.]dev/gystdn[.]html#YXByaWxAcmVzZXRpdGxlLmNvb

Sobre o SonicWall Capture Labs
Os pesquisadores de ameaças do SonicWall Capture Labs se reúnem, analisam e classificam informações de ameaças entre diversos vetores, na rede de ameaças do SonicWall Capture, que consiste em dispositivos e recursos globais, incluindo mais de 1 milhão de sensores de segurança em quase 215 países e territórios. O SonicWall Capture Labs, pioneiro no uso de Inteligência Artificial para pesquisa e proteção contra ameaças há uma década, realiza ensaios e avaliação rigorosos com esses Dados, estabelece uma pontuação de reputação para remetentes e conteúdos de e-mails, e identifica novas ameaças em tempo real.

Sobre a SonicWall
SonicWall é uma precursora da cibersegurança, com mais de 30 anos de especialização, e é reconhecida com um modelo de distribuição centrada em parceiros. Com capacidade para desenvolver, escalonar e gerenciar a segurança em ambientes de Nuvem, híbridos e tradicionais, em tempo real, a SonicWall oferece proteção sem fissuras contra os ataques cibernéticos mais evasivos, em infinitos pontos de exposição, para usuários cada vez mais remotos, móveis e baseados em Nuvem.