Nova geração de códigos QR maliciosos descoberta por pesquisadores

Uma nova geração de ataques de phishing, agora utilizando códigos QR, conhecida como “quishing”, foi descoberta pelos analistas de ameaças da Barracuda. Esses ataques inovadores introduzem novas táticas para contornar as defesas tradicionais de segurança cibernética, tornando-se uma ameaça crescente para empresas e usuários de e-mails.

A Barracuda conduziu uma pesquisa detalhada, destacando novas técnicas que transformam códigos QR em armas eficazes contra mecanismos de defesa convencionais. Em vez de utilizarem as imagens estáticas de QR que os sistemas de segurança normalmente escaneiam, os cibercriminosos estão criando códigos QR a partir de caracteres ASCII e Unicode baseados em texto. Essa abordagem sofisticada permite que os invasores iludam os sistemas de reconhecimento óptico de caracteres (OCR), que não conseguem identificar o conteúdo como malicioso.

Como Funciona a Técnica do QR de Texto

Um exemplo comum de um ataque dessa nova geração envolve a criação de um código QR utilizando uma matriz de blocos completos (█) em um layout de 49×49. Visualmente, o código se assemelha a um QR tradicional, enganando o usuário final. No entanto, para sistemas de OCR, ele aparece apenas como uma sequência de caracteres sem sentido, o que permite que o código malicioso passe despercebido pelas ferramentas de segurança baseadas em imagem.

Essa técnica é extremamente eficaz porque, para o usuário, o código parece autêntico e funcional, levando-os a escaneá-lo com o smartphone. Quando o QR é lido, ele pode redirecionar a vítima para uma página de phishing que coleta credenciais, instala malware ou executa outras atividades maliciosas.

Técnicas Avançadas com URIs de Blob

Além do uso de códigos QR textuais, outra tática emergente identificada pelos analistas da Barracuda envolve o uso de URIs de Blob (Identificadores Universais de Recursos para Objetos Binários). Essa técnica permite que os invasores criem páginas de phishing difíceis de detectar, utilizando dados binários diretamente no navegador, como imagens ou vídeos, sem depender de um servidor externo.

Os URIs de Blob são particularmente problemáticos para sistemas de segurança, pois, como são criados e gerenciados localmente no navegador, as ferramentas tradicionais de filtragem de URL e verificação de segurança têm dificuldades para detectar conteúdo malicioso. Isso ocorre porque os URIs de Blob não acessam dados diretamente de URLs externas, escapando assim das verificações de segurança que buscam padrões maliciosos em links externos.

Além disso, os URIs de Blob são dinâmicos e podem expirar rapidamente, tornando-os difíceis de rastrear e analisar posteriormente. A natureza efêmera desses URIs complica o trabalho das equipes de segurança cibernética, que precisam agir rapidamente para identificar e mitigar ameaças.

Aumento nos Ataques de Phishing com QR e Implicações para Empresas

Os analistas da Barracuda ainda não identificaram casos em que ambas as técnicas – QR textuais e URIs de Blob – tenham sido usadas simultaneamente em um único ataque. No entanto, ambas as táticas já demonstraram ser altamente eficazes de forma isolada, especialmente em ambientes corporativos onde os códigos QR são frequentemente usados para compartilhamento rápido de links, logins e informações.

Em ataques tradicionais de código QR, os invasores incorporam links maliciosos diretamente na imagem do código, e as ferramentas de segurança conseguem detectar e bloquear esses links ao escanear a imagem. No entanto, como destacou Ashitosh Deshnur, Analista de Ameaças da Barracuda, as novas técnicas tornam mais difícil para as ferramentas de segurança escanear e bloquear esses ataques. “A nova geração de técnicas de phishing com código QR tenta contornar isso, tornando impossível para as ferramentas de escaneamento baseadas em imagem lerem o código QR ou dificultando a detecção do conteúdo malicioso”, explicou Deshnur.

Estatísticas Alarmantes

De acordo com a pesquisa da Barracuda, o uso de phishing com códigos QR cresceu de forma significativa em 2023. Estima-se que cerca de 1 em cada 20 caixas de e-mail corporativas foi alvo de ataques com códigos QR no último trimestre do ano, mostrando que essa ameaça está se tornando cada vez mais prevalente.

Recomendações para Mitigar os Riscos

Para combater essa nova geração de ataques, a Barracuda recomenda que as empresas:

• Implementem soluções de segurança que não se limitem ao reconhecimento de imagens e OCR, mas também possam detectar padrões de texto maliciosos em códigos QR.
• Eduquem seus funcionários sobre os riscos de escanear códigos QR desconhecidos, mesmo que pareçam legítimos.
• Utilizem autenticação multifator (MFA) sempre que possível para reduzir a eficácia de páginas de phishing que tentam roubar credenciais.
• Monitorem atividades suspeitas, como a criação e uso de URIs de Blob, especialmente em ambientes corporativos onde esses objetos binários possam ser usados para finalidades legítimas.

Conclusão

O phishing com códigos QR está evoluindo rapidamente, adotando técnicas cada vez mais sofisticadas para driblar as defesas tradicionais. À medida que os cibercriminosos continuam a explorar essas vulnerabilidades, é fundamental que as empresas atualizem suas estratégias de segurança, expandindo suas defesas para incluir tecnologias capazes de detectar essas táticas avançadas. Somente com uma abordagem proativa e bem informada será possível mitigar os riscos desse tipo de ataque.