Attaques via QR codes, c’est reparti !
Selon Trellix, les QR codes redeviennent en vogue chez les cyberattaquants avec une série de nouvelles attaques les exploitant.
Attaques via QR codes, c’est reparti ! Le Trellix Advanced Research Center a récemment remarqué une campagne d’attaque avec un pic aigu d’e-mails de phishing, ainsi qu’une autre campagne qui se poursuit régulièrement depuis début 2022 avec une légère variation de ses TTP.
Point commun : les deux campagnes utilisent les codes QR comme principal mécanisme pour échapper à la détection des produits de sécurité de messagerie. Les e-mails de phishing étaient pour la plupart dépourvus d’URL textuelles, ce qui rend la plupart des produits de sécurité de messagerie inefficaces car ils s’appuient sur du texte et des URL lisibles pour la détection.
L’analyse de ces campagnes a révélé que les acteurs malveillants utilisaient non seulement le code QR comme principal moyen de défense, mais également des tactiques d’évasion superposées pour rendre ces campagnes difficiles à détecter.
Deux attaques similaires
La première vague vise clairement les propriétaires de comptes Microsoft (utilisateurs de Windows, Outlook, Skype, Xbox, etc.) et Microsoft 365. Elle s’appuie sur un mail suspect principalement composé d’images (même le texte est sous forme d’image) et qui présente un QR code afin de mieux contourner les protections des messageries.
L’e-mail invite les destinataires à procéder d’urgence à une authentification multifactorielle, par exemple, en annonçant une « Mise à jour de la sécurité 2FA (Authentification à deux facteurs) » en scannant le QR code avec leur téléphone portable.
La seconde vague vise plus précisément les ressortissants chinois avec un e-mail faisant référence à des subventions du gouvernement chinois que l’on peut recevoir en scannant un QR code.
Objectif : éviter toute détection
Utiliser ainsi des QR-codes permet de duper plus facilement les éventuelles protections du système ou du navigateur qui reposent en général sur une analyse des URL directement embarquées. Représentée sous forme de QR codes, les URL malveillantes sont masquées et illisibles pour la plupart des protections (on notera au passage que Trellix fait partie de ces acteurs disposant de boucliers anti-attaques par QR code).
Dans les deux cas, les techniques d’évasion sont assez similaires :
– Utilisation d’un QR code pour rediriger l’internaute vers une page qui paraît licite (domaines comme amazonaws.com ou cloudflare-ips.com.
– Redirection automatique vers un domaine malveillant nouvellement créé.
– Exploitation détournée du mécanisme anti-bot de cloudflare pour mieux duper les protections embarquées sur les machines et dans les navigateurs.
– Demande de vérification par mécanisme Captcha pour contrôler que l’utilisateur est bien un humain et perturber les éventuels boucliers installés.
Au final, l’objectif est en général d’amener l’utilisateur à saisir ses identifiants ou encore de profiter de failles non corrigées pour pousser un malware sur la machine de l’internaute.