Ha surgido un aumento de correos electrónicos de phishing (suplantación de identidad) que utilizan códigos QR como mecanismo principal para evadir la detección de los productos de seguridad del e-mail.
De acuerdo con reportes del Centro de Investigación Avanzada de la empresa Trellix, los correos electrónicos de phishing en este tipo de campañas de ataque carecían en gran número de URL de texto, lo que hace que la mayoría de los productos de seguridad de correo electrónico sean ineficaces porque dependen de texto legible y URL para su detección.
El análisis reveló que los ciberdelincuentes no sólo usaron códigos QR como principal medio de defensa, sino también tácticas de evasión en capas para hacer que estas campañas fueran difíciles de detectar.
A este respecto, Trellix detalló las técnicas de evasión, así como las regiones objetivo y los métodos adicionales que los atacantes pueden emplear:
Phishing de cuentas de Microsoft a través de códigos QR
Esta campaña fue detectada desde mediados de mayo de 2023, en la que el cuerpo del correo sólo tenía texto y un código QR, ambos en forma de imagen. El asunto aconsejaba al destinatario que tomara medidas urgentes con respecto a la autenticación multifactor (por ejemplo, “Actualización de seguridad 2FA (autenticación de dos factores)”). Dado que la mayoría de los productos de seguridad de correo electrónico actúan sobre un cuerpo compuesto únicamente de texto y URL; los ciberdelincuentes superaron este obstáculo utilizando imágenes en el cuerpo del correo electrónico; el objetivo es transmitir que el usuario necesita usar un teléfono móvil para escanear el código QR y continuar.
Durante el análisis se descubrió que, además de explotar la relación de dominio confiable, los ciberdelincuentes también usaban dominios con errores tipográficos como mcwrssoft[.]co y logln-0nline-nnicrosoift3[.]com. La campaña estaba dirigida a casi todos los sectores, como combustible y energía, finanzas y banca, telecomunicaciones, TI y software, atención médica, transporte y manufactura.
Las técnicas emplean múltiples capas de evasión, mientras que otras se basan en:
Capa 1: Redirección de la URL de llamada a la acción (CTA)
Los códigos QR observados usan principalmente la redirección desde un dominio legítimo, por ejemplo: i6x[.]net, cloudflare-ipfs[.]com, amazonaws[.]com, bliflax[.]com, etc. Las páginas de destino a menudo estaban alojadas en sitios recién creados.
También se utilizó el dominio qr[.]codes. Los atacantes pueden rastrear la cantidad de veces que se escanearon estos códigos QR.
Capa 2: Verificación del mecanismo anti-bot de Cloudflare
Se observó URL de códigos QR que aprovechan las funciones anti-bot de Cloudflare. Esta implementación de Cloudflare se proporciona de forma gratuita después de registrarse y los actores de amenazas abusan de ella.
Capa 3: Evasión de Captcha
Las URL pueden emplear otra capa de evasión mediante el uso de un mecanismo Click Captcha. Esto dificulta que los motores de detección escaneen la URL, ya que requieren la interacción del usuario. El captcha no tiene por qué ser auténtico, es solo un medio para evadir el análisis automatizado.
Correos falsos de subsidios chinos
Además, se ha rastreado otra campaña desde principios de 2022, en la que el código QR está incrustado en el cuerpo del correo electrónico o está presente en un documento adjunto. Una vez que el usuario escanea el código QR, se le redirige a un sitio de phishing de tarjetas de crédito “China UnionPay”. El atacante utiliza muchas técnicas de evasión mientras redirige al usuario al sitio de phishing como defensa en capas.
Hasta ahora, a lo largo de la campaña, el modus operandi es el mismo: señuelos por correo electrónico mencionando los subsidios del Ministerio de Finanzas, del Gobierno chino. Vienen principalmente en forma de subsidios en los que se pide a la víctima que escanee un código QR para obtener el beneficio.
Lo que hace que esta técnica de phishing con códigos QR sea única es que evita la mayoría de los productos/proveedores de seguridad del correo electrónico. En este caso, los correos electrónicos tampoco tienen URL ni ningún tipo de texto de phishing que la mayoría de los productos de seguridad de correo electrónico puedan detectar y procesar.
El texto atractivo incluye la “Plataforma de Servicio Público de Seguridad Nacional” del Ministerio de Finanzas. Según los encabezados del correo electrónico, el correo electrónico fue enviado desde el ISP de ChinaNet (AS 4134) con la dirección IP 49[.]64[.]71[.]178 y probablemente fue redactado en uno de los populares agentes de usuario de correo (MUA) Foxmail 7.2.25.179[cn].
Capa 1: Ofuscación en la página URL de CTA
Al escanear un código QR en un correo electrónico, la víctima es enviada a la URL de CTA. Esta página suele estar encriptada por jsjiami[.com].
El código desencriptado que se obtiene al descifrar datos utilizando la cadena de código de la biblioteca CryptoJS en la propiedad “to-data” contiene la cadena, la clave y el iv para el descifrado.
Luego, la víctima es redirigida a la “Página de destino“. Esta URL suele tener el formato “<ID o hash MD5>.<nombre de dominio siempre diferente del dominio principal del código QR escaneado>.<tld>”. Por ejemplo, si el código QR escaneado obtiene “dominio1.sbs”, entonces la página redirigida tendría el formato “e85fe7e7aa21ab4984fbac1e577f7a57.dominio2.sbs”.
El atacante limita las actualizaciones de varias páginas durante la sesión, para garantizar que el contenido de la página de destino permanezca estable y que el usuario no note ningún comportamiento inusual mientras el código lleva a cabo las acciones previstas.
Si la solicitud falla con el código de respuesta 5, se muestra la página de mantenimiento del sistema systemMaintenance.html y la clave de tiempo de apertura se establece en función de los datos de respuesta.
Capa 2: Resolución de pantalla y verificación de cookies web
Jump.js, que forma parte de la “Página de destino”, comprueba si el agente de usuario del dispositivo es para un teléfono inteligente. Además, verifica que la resolución de la pantalla tenga una altura menor o igual a 1000 píxeles y un ancho menor o igual a 800 píxeles. Si no se cumplen los criterios anteriores, se redireccionará a “pc.html”.
La tarea principal de “getCookie.js” a la que se hace referencia en la “Página de inicio” es configurar la cookie del usuario a través de la función userSetCookie() y obtener el URI decodificado a través de userCookie().
Capa 3: Verificaciones de tiempos regionales
Si se realiza una solicitud a getTemplateData.php fuera del horario laboral en China, el código de respuesta entregado es 5 y, en este caso, se entrega la página systemMaintenance.html.
El javascript remoto.js se obtiene de la respuesta “getTemplateData.php” y generalmente está alojado en un dominio diferente. El objetivo principal de este script es enviar instantáneas/imágenes y datos de interacción del mouse al servidor a través de WSS (Protocolo seguro WebSocket).
También se encontró un caso en el que el atacante parecía probar la página de destino que mostraba contenido legítimo de algún sitio de compras. Tras una inspección, se descubrió que a la “Página de destino” le faltaba la carga de “Jump.js”.
Desde mediados de julio de 2023, los ciberdelincuentes cambiaron la estructura de archivos.
Métodos adicionales de evasión
Además de los métodos de evasión anteriores, Trellix refirió otros que también utilizan los ciberdelincuentes como:
- Evasión geográfica utilizando herramientas en línea de terceros: se pueden utilizar herramientas de generación de códigos QR en línea como me-qr[.]com para evitar solicitudes de regiones geográficas y ciertas direcciones IP.
- Envío de códigos QR a través de archivos adjuntos poco comunes: los códigos QR se envían en archivos adjuntos de correo electrónico menos comunes, como documentos de OneNote o archivos HTML.
- Uso de kits de phishing con códigos QR: los kits de phishing disponibles públicamente siempre han atraído a ciberdelincuentes y script kiddies debido a su naturaleza inherente de ser menos técnicos de configurar. Estos kits proporcionan muchas funciones como detección de bots, mecanismos de bloqueo de IP, seguimiento de usuarios, etc.
- Abusar de plataformas legítimas para alojar imágenes de códigos QR de phishing: los autores de phishing pueden usar plataformas de alojamiento legítimas como Google Docs, Microsoft Office 365, etc. para alojar imágenes de códigos QR, explotando así la relación de confianza y evadiendo las detecciones.
- Uso de códigos QR dinámicos y códigos QR serializados:, por ejemplo, el producto de seguridad escanea el código QR, primero mostraría una URL legítima que redirige a un sitio web legítimo, pero después de un tiempo la redirección podría cambiarse a un sitio web de phishing una vez que el correo electrónico haya llegado a la bandeja de entrada del usuario. Los ciberdelincuentes pueden hacer uso de dicho código QR para garantizar que solo se utilice una vez, frustrando así el análisis por parte de investigadores/productos de seguridad.
Las regiones que se vieron más afectadas por la campaña de phishing del Código QR de Microsoft fueron EE. UU., Qatar, Dinamarca, Suecia, Australia, Sudáfrica, Abu Dabi, Pakistán, India, Singapur y China.
Mientras que las regiones afectadas por la campaña de phishing de subsidios chinos falsos fueron China, República de Corea, Hong Kong, Japón, Estados Unidos, Alemania, Suiza, Australia, Italia, Reino Unido y Arabia Saudita.
Según una encuesta, más del 84% de los usuarios de teléfonos móviles han escaneado un código QR al menos una vez. Y se predice que en unos pocos años habrá alrededor de mil millones de teléfonos inteligentes más que en la actualidad. Sin duda, estas estadísticas predicen una creciente dependencia de los códigos QR para diversos usos, como pagos, servicios de suscripción, automatización, fabricación, entre otros sectores.
