Uma ampla campanha de phishing em andamento desde maio de 2023 tem como alvo organizações em vários setores, incluindo uma grande empresa de energia dos EUA, relata a empresa de inteligência de ameaças Cofense.
Com o objetivo de coletar as credenciais da conta da Microsoft dos funcionários das organizações visadas, os ataques se baseiam em códigos QR maliciosos incorporados em imagens PNG ou documentos PDF. Os links de phishing, explica Cofense, foram escondidos nos códigos QR.
Como parte de a campanha, os invasores enviaram mais de 1.000 e-mails de phishing, com cerca de 29% deles direcionados à empresa de energia dos EUA. Organizações de manufatura, seguros, tecnologia e serviços financeiros receberam 15%, 9%, 7% e 6% dos e-mails, respectivamente.
Os e-mails observados falsificam as notificações de segurança da Microsoft. A maioria dos links de phishing identificados foram URLs de redirecionamento do Bing (26%), seguidos por dois domínios associados ao aplicativo Salesforce (15%) e aos serviços Web3 da Cloudflare.
O número de ataques observados, observa Cofense, cresce cerca de 270% mensalmente, com o pico mais alto observado entre maio e junho. Após uma campanha de semanas em julho, no entanto, o número de ataques observados diminuiu em agosto.
A maioria dos e-mails continha iscas referentes à atualização de informações da conta, incluindo autenticação de dois e vários fatores ou detalhes gerais de segurança da conta.
O uso de redirecionamentos de URL do Bing, juntamente com a ocultação de links de phishing em códigos QR incorporados em imagens ou documentos e outras táticas de ofuscação, ajudou as mensagens maliciosas a contornar os controles de segurança e chegar às caixas de entrada dos destinatários.
De acordo com a Confense, apesar de poderem chegar às caixas de entrada, os e-mails de phishing com códigos QR podem não ser tão eficientes para finalizar o ataque, pois exigem que o usuário escaneie os códigos – normalmente usando um telefone celular – e siga o link de phishing.
“Os dispositivos móveis modernos também mostram o artefato incorporado e pedem ao usuário para verificar a URL antes de iniciar um navegador para o link, o que permite ao usuário ver para onde o link está indo antes de aceitar”, aponta Cofense.
A empresa também aponta que, embora os leitores de QR e os sistemas de reconhecimento de imagem possam identificar automaticamente códigos QR maliciosos, também é importante educar os funcionários para evitar a leitura desses códigos em e-mails.