Las nuevas campañas de phishing intentan evadir la detección construyendo códigos QR falsos con caracteres ASCII especiales y cargando páginas de phishing localmente utilizando la función de URL de blob local en los navegadores.
Los atacantes siempre están buscando nuevas formas de eludir los filtros de seguridad del correo electrónico y hacer llegar sus URL maliciosas a las víctimas. Un método cada vez más popular consiste en enviar correos electrónicos que incluyen códigos QR que, al escanearlos, dirigen a los usuarios a sitios fraudulentos . Ahora, los investigadores han descubierto una variante en la que esos códigos QR se construyen utilizando caracteres ASCII y Unicode dispuestos en HTML en lugar de imágenes estáticas.
Esta técnica (a veces llamada quishing) tiene como objetivo eludir los filtros de seguridad que tienen capacidades de reconocimiento óptico de caracteres (OCR) para detectar códigos QR dentro de imágenes y luego inspeccionar las URL a las que apuntan. El método ASCII hace que la detección basada en OCR sea inútil porque una cadena de caracteres especiales en los correos electrónicos no tendrá sentido para un motor de OCR y no se podrá distinguir de un código QR para un humano.
Los atacantes también utilizan cada vez más las llamadas URL blob (objetos binarios grandes) que solo se abren en el navegador local para mostrar páginas de phishing en lugar de utilizar URL que apuntan a páginas externas que podrían estar en la lista negra del software de seguridad.
Falsificar un código QR con ASCII dificulta su detección
“Hace un año, el volumen de ataques de phishing basados en códigos QR aumentó repentinamente”, dijeron los investigadores de Barracuda Networks en un informe . “Los datos de Barracuda muestran que aproximadamente uno de cada 20 buzones de correo fue el objetivo de ataques con códigos QR en el último trimestre”.
Estos correos electrónicos de phishing generalmente se hacen pasar por notificaciones automáticas de servicios legítimos e incluyen un código QR que el usuario debe escanear con su dispositivo móvil para acceder a un recurso, como una factura, un documento o una página de seguimiento de envío.
En el pasado, los códigos QR resultaban atractivos para los atacantes como vector de phishing porque muchas herramientas de seguridad y spam no estaban equipadas para detectarlos, ya que los códigos QR son simplemente imágenes dentro de mensajes de correo electrónico basados en HTML.
Sin embargo, las herramientas se han adaptado y ahora utilizan motores de OCR para analizar imágenes estáticas en correos electrónicos y decodificar códigos QR si se detectan para extraer la URL. Por lo tanto, no es sorprendente que los atacantes adapten también su estrategia.
Según Barracuda, algunas campañas recientes de phishing basadas en códigos QR han utilizado caracteres ASCII de bloque completo y medio bloque, que se muestran como un cuadrado negro de 49×49 y un cuadrado medio negro respectivamente, para construir visualmente códigos QR funcionales organizando estos caracteres en código HTML y utilizando otras técnicas.
“Allí donde se necesitan parches blancos en el código QR, se utiliza una hoja de estilo en cascada (CSS) para hacer que el color del texto de los caracteres del bloque sea completamente transparente, volviéndolos invisibles”, dijeron los investigadores.
Un ejemplo de un código QR creado con ASCII
Los atacantes se hacen pasar por servicios legítimos
En un ejemplo de phishing demostrado por Barracuda, los atacantes se hicieron pasar por un servicio que supuestamente enviaba un archivo de inscripción de nóminas y beneficios al que se podía acceder escaneando el código QR. En otro caso, los atacantes se hicieron pasar por la empresa de envíos internacional DHL y pidieron a los destinatarios que completaran un formulario escaneando el código QR para completar un pedido porque supuestamente faltaba la dirección de envío.
Abuso de URLs de blobs
La funcionalidad Blob es parte de la API de archivos de un navegador y ofrece a los sitios web una forma de almacenar y acceder a objetos similares a archivos que contienen datos sin procesar en la memoria del navegador. Esto se puede utilizar para trabajar con imágenes y videos de forma local dentro del navegador durante la misma sesión sin solicitar esos recursos a un servidor externo cada vez que se hace referencia a ellos en el código.
El navegador creará identificadores uniformes de recursos (URI) con el formato blob:// http://domain.com/[unique blobidentifier] para hacer referencia a estos objetos en la memoria y los atacantes se aprovechan de esto porque no todas las herramientas de seguridad aplican sus mecanismos de detección en los URI blob://, ya que son temporales y locales en el navegador del usuario. Esto no significa que puedan contener páginas de phishing.
Los investigadores de Barracuda encontraron recientemente una campaña de phishing que se hace pasar por el proveedor de tarjetas de crédito Capital One y pide a los usuarios que hagan clic en un botón para revisar su cuenta, que supuestamente ha sido restringida debido a actividad sospechosa.
Si se hace clic en el botón, se accede a una página intermedia que activa la función blob para almacenar un objeto binario y luego redirige rápidamente el navegador a la URL local blob:// para cargarlo. En este caso, el objeto binario se utiliza para almacenar una página de inicio de sesión falsa de Capital One.
“Los analistas de amenazas también han detectado que la técnica Blob URI se utiliza en ataques de phishing que se hacen pasar por Chase y Air Canada”, dijeron los investigadores.
Fuente: CSO
Commentaires