El quishing (phishing con códigos QR) está evolucionando rápidamente a medida que los actores de amenazas adaptan sus tácticas para evadir los escáneres de seguridad del correo electrónico.
Los actores de amenazas están incorporando códigos QR en sus campañas de phishing, lo que aumenta aún más la evasión y dificulta que las soluciones de seguridad tradicionales los detecten.
La última versión, denominada “Quishing 2.0”, llega con tácticas más sofisticadas que nunca.
Una reciente campaña Quishing descubierta por el equipo de investigación de seguridad de Perception Point destaca la sofisticación de estos ataques.
¿Qué es besar?
Los actores de amenazas explotan y combinan plataformas ampliamente confiables, como SharePoint y servicios de escaneo QR en línea, para evadir casi todas las soluciones de seguridad del correo electrónico actuales.
Únase a un panel virtual para conocer a los CISO y obtener más información sobre el cumplimiento: unirse es gratis
Tutorial de ataque de Quishing 2.0
1. Mensaje de correo electrónico: el objetivo recibe un correo electrónico que parece provenir de una empresa genuina. También puede ser un dominio falsificado o un correo electrónico que se hace pasar por un socio comercial conocido. Por la línea de asunto y el archivo PDF adjunto, podemos inferir que se trata de una orden de compra (PO).
2. Archivo adjunto en PDF: dentro del documento PDF hay un código QR grande con instrucciones para escanearlo y ver la orden de compra completa.
El PDF también incluye la dirección real de la empresa falsificada, lo que fortalece aún más su credibilidad.
3. Servicio de escaneo QR (Me-QR): una vez que el objetivo escanea el código QR, será redirigido a me-qr.com, un servicio legítimo de creación y escaneo de códigos QR.
Esta página indicará que el código QR se ha escaneado correctamente y mostrará un botón que dice “Omitir anuncios”. Este paso aumenta aún más la confiabilidad ya que utiliza un servicio confiable.
4. Carpeta de SharePoint: al hacer clic en el botón “Omitir anuncio”, el destinatario accede a una página real de SharePoint que parece estar afiliada a la empresa falsificada. Aquí, los atacantes aprovechan al máximo los servicios confiables para ocultar sus intenciones maliciosas.
5. Archivos .url y páginas de phishing M365: cuando un destinatario hace clic en un archivo en SharePoint, se le redirige a la carga útil final, una página falsa de OneDrive.
Un formulario de inicio de sesión de Microsoft 365 diseñado para robar las credenciales de las víctimas aparece en segundo plano encima de lo que aparentemente parece un archivo de factura escaneado de una orden de compra.
Técnicas de evasión
Quishing 2.0 implica dos códigos QR. El primer código QR, o “malo”, conduce a una página legítima de SharePoint asociada con una cuenta comercial comprometida o suplantada, y desde allí a una página de phishing maliciosa.
El atacante carga este código QR en un servicio de escaneo QR en línea como me-qr.com. Este servicio extrae la URL y la muestra después del anuncio. El actor de amenazas genera un segundo código QR “limpio” a partir de esta página de resultados/anuncios.
Este código QR “limpio”, que es el código que el objetivo finalmente ve y manipula en el archivo adjunto PDF, parece ser completamente legítimo y evade los análisis iniciales de seguridad del correo electrónico.
Advanced Email Security de Perception Point utiliza análisis dinámico de URL y visión por computadora para descomponer las capas de Quishing 2.0 e identificar el contenido malicioso real.
Los modelos avanzados de detección de objetos analizan el contenido de las páginas web que ven los usuarios y detectan elementos en los que se puede hacer clic, como botones y formularios de inicio de sesión.
Combinado con Recursive Unpacker, Perception Point hace clic automáticamente en estos elementos y rastrea la ruta completa del ataque, revelando cargas útiles maliciosas ocultas debajo de capas de servicios aparentemente legítimos y códigos QR.
Esta pila de detección de múltiples capas proporciona una sólida protección en tiempo real contra todo tipo de ataques de quishing, lo que destaca la necesidad de soluciones de seguridad avanzadas para contrarrestar las amenazas en evolución.
¿Es usted parte de un equipo SOC/DFIR? – Pruebe el análisis avanzado de malware y phishing con ANY.RUN – Prueba gratuita de 14 días
QR Code Phishing Attack Bypasses Email Security Scanners & Abuse SharePoint
