Check Point racconta l’evoluzione degli attacchi QR Code

qr code

Check Point Software evidenzia la pericolosità degli attacchi basati su QR Code, uno strumento famigliare per molti ma oggi usato anche dai cybercriminali.

Un’evoluzione rispetto ai cyber attacchi perpetrati la scorsa estate, che avevano portato a un incremento del +587% di questi attacchi phishing. Tali minacce avevano tutte caratteristiche simili, con l’obiettivo di indurre gli utenti a scansionare il codice, per reindirizzarli a una pagina di raccolta delle credenziali.

Oggi gli hacker utilizzano i QR Code in modo diverso. La richiesta iniziale è simile, ma la catena di reindirizzamento è differente: il link utilizza come appoggio il sito con cui l’utente sta interagendo, e si regola di conseguenza, adattando il tipo di link per gli utenti Apple o Android. L’obiettivo finale è lo stesso: installare il malware sull’endpoint dell’utente finale, rubandone anche le credenziali. Modificando la destinazione in base al comportamento dell’utente, la percentuale di successo è molto più alta.

Nell’arco di due settimane solo a gennaio 2024, si è assistito a circa di 20.000 di questi attacchi.

Gli hacker inviano QR Code con un routing condizionale basato sul dispositivo.
• Vettore: E-mail
• Tipo: QR Code, reindirizzamento condizionale, raccolta di credenziali
• Tecniche: Social engineering, BEC 3.0
• Obiettivo: Qualsiasi utente finale

Questa e-mail inizia come un attacco phishing abbastanza standard basato su un QR Code. La richiesta consiste nel consultare l’estratto conto annuale dei contributi, scansionando il QR Code. In questo modo si otterrà il saldo del conto per l’anno in corso.
L’aspetto interessante di questo attacco è quel che ne consegue.
Il QR Code ha un punto di destinazione condizionato dal browser, dal dispositivo, dalle dimensioni dello schermo e da altro ancora. A seconda dei parametri, il QR Code rimanda a una pagina diversa.

In sostanza, ci sono quattro livelli di offuscamento. Uno è il QR Code stesso. L’URL incorporato nel codice sembra che punti verso un dominio Apple, ma viene invece reindirizzato altrove. C’è poi un reindirizzamento cieco a un altro dominio. Questo dominio effettua un controllo automatico per verificare se l’utente proviene da un browser o da un motore di scansione e viene reindirizzato di conseguenza.
È presente anche un payload con tecniche di anti-reverse engineering. Se si tenta di smascherarlo, consumerebbe risorse infinite.
In tutti questi casi, il link del QR Code e quello a cui si viene reindirizzati sono diversi.

Le tecniche

Il reindirizzamento in un attacco non è necessariamente nuovo, anche se il suo utilizzo nei QR Code è peculiare. Navigando nel reindirizzamento condizionale, gli hacker sono in grado di aumentare la propria capacità di successo. In genere, i livelli di sicurezza predefiniti esaminano un reindirizzamento e, se il primo è pulito, lo lasciano passare. (È quello che è successo in questo tipo di attacco).

È qui che entra in gioco la potenza di una soluzione di sicurezza completa, che consente di lavorare a più livelli e di prevenire questi tipi di attacchi.
In questo caso, una soluzione di sicurezza per le e-mail può bloccare l’attacco, esaminando il comportamento sospetto, come il primo mittente, l’analisi del testo e altro ancora. La sicurezza del browser può bloccarlo, ispezionando il sito web ed emulando eventuali azioni. La sicurezza dei dispositivi mobili può bloccarlo al momento dell’effettiva scansione del QR Code. L’antimalware può emulare il file e capire cosa accadrà. La sicurezza agisce anche dopo la consegna e può esaminare continuamente nuove informazioni, scansionando ed emulando continuamente l’URL.

Questi attacchi sono difficili da arrestare perché agiscono compromettendo molti livelli differenti. Tuttavia, se si dispone di tutti i layer di protezione, la capacità di bloccare l’attacco aumenta.

Per difendersi da questi attacchi, i responsabili di sicurezza possono:
• Implementare una sicurezza che utilizzi l’intelligenza artificiale per esaminare più indicatori di phishing.
• Implementare una sicurezza in grado di decodificare gli attacchi tramite QR Code.
• Implementare una sicurezza a più livelli di protezione.