Nueva campaña de Phishing omite los controles de seguridad al abusar de los códigos QR para redirigir a las víctimas

Investigadores descubrieron una nueva campaña de phishing que abusa de los códigos QR para redirigir a sus objetivos a las páginas de phishing, evitando las soluciones de seguridad y los controles diseñados para detener dichos ataques.

Los investigadores de Cofense observaron una nueva campaña de phishing que abusa de los códigos QR para redirigir a los usuarios a las páginas de phishing, sin pasar por los controles de seguridad que bloquean los dominios sospechosos o en la lista negra.

Los delincuentes detrás de los ataques de phishing dirigidos a los clientes franceses de Cofense utilizaron una URL codificada en un código QR para eludir el software de seguridad que analiza y bloquea los dominios sospechosos o en la lista negra.

Los correos electrónicos de phishing se camuflaron como un correo electrónico de SharePoint con una línea de asunto «Revisar documento importante» y un cuerpo de mensaje que invitaría a las posibles víctimas a escanear el código de barras para ver el documento.

Para atraer a las víctimas a sus páginas de inicio de phishing, los delincuentes agregaron una imagen GIF que contenía el código QR que los redirigiría ahxxps://digitizeyourart.whitmers[.]com/wp-content/plugins/wp-college/Sharepoint/sharepoint/index.php, dominio diseñado para presentarse como un sitio relacionado con SharePoint.

«La mayoría de las aplicaciones de escáner de códigos QR para teléfonos inteligentes redirigen al usuario al sitio web malicioso a través del navegador nativo del teléfono», según descubrieron los investigadores de Cofense.

Después de alcanzar una página de inicio de phishing de SharePoint en sus teléfonos inteligentes, se presenta a los objetivos la opción de iniciar sesión con AOL, Microsoft u otro tipo de cuenta de su elección para ver el documento.

Sin embargo, como agrega Cofense, «Si bien esto suena como un simple phish, hay una táctica más en el juego: eliminar al usuario de la seguridad de una red empresarial corporativa».

Al eliminar a sus víctimas de la relativa seguridad de sus computadoras, los ciberdelincuentes pueden omitir de manera efectiva los servicios de protección de enlaces, pasarelas de correo electrónico seguras, recintos de pruebas o filtros de contenido web establecidos por el departamento de seguridad de la información corporativa de los objetivos.

Esto sucede porque las páginas de destino de phishing se cargan en el teléfono inteligente personal de la víctima o, en los casos más afortunados, en un dispositivo móvil proporcionado por la empresa que aún podría exponerlos a riesgos adicionales debido a que se implementan controles y soluciones de seguridad más limitados en una empresa. nivel – si hay alguno.

Para hacer que el ataque sea aún más exitoso contra los usuarios móviles, los atacantes también han optimizado sus páginas de destino para teléfonos inteligentes con la página de phishing que proporciona una vista personalizada en dispositivos móviles.