Un nou atac de tip quishing prin Coduri QR vizează utilizatorii Microsoft
Sursă: https://cybersecuritynews.com
Utilizatorii Microsoft se confruntă cu o nouă campanie de quishing care utilizează coduri QR încorporate în e-mailuri rău intenționate.
Acest atac, apărut la începutul lunii octombrie 2025, exploatează încrederea în autentificarea bazată pe coduri QR și în fluxurile de lucru de asociere a dispozitivelor, păcălind utilizatorii să scaneze coduri care furnizează fișiere binare de sustragere de informații.
Utilizatorii care au scanat codurile au fost redirecționați către un nod Azure CDN compromis, care găzduia o secvență de furnizare de payload.
După apariția sa, specialiștii au identificat mai mulți vectori de infectare. Unul dintre aceștia implică un e-mail de phishing care pretinde a fi o alertă Microsoft Teams, instruind utilizatorii să scaneze un cod QR pentru a remedia problema de securitate.
Un altul imită o solicitare de înregistrare Microsoft Authenticator, promițând protecție îmbunătățită la conectare după scanare. Deoarece multe organizații încurajează configurarea multifactorială bazată pe QR, aceste capcane par legitime la prima vedere.
Impactul se extinde la sustragerea datelor de autentificare și compromiterea sistemului. Odată ce codul QR este scanat, utilizatorii primesc o adresă URL scurtă care trimite către un script de redirecționare rău intenționat.
Acest script efectuează verificări de context, verificând setările de localizare Windows, versiunile Defender instalate și indicatorii sandbox, înainte de a descărca un executabil aPackaged Infostealer (PI).
Acest fișier binar stabilește persistența prin crearea unui payload programat numit MSAuthSync, asigurând executarea la fiecare conectare a utilizatorului. Datele de autentificare extrase și telemetria host-ului sunt exfiltrate prin HTTPS către endpoint-uri controlate de atacator.
O inovație cheie în acest atac de tip quishing este tehnica de evitare a antivirusului prin cod QR. În loc să încorporeze o singură imagine QR, malware-ul împarte codul în două imagini suprapuse desenate prin fluxuri de conținut PDF.
Această abordare evidențiază modul în care imaginile QR transformate în mijloace de atac pot evita atât semnăturile AV statice, cât și verificările vizuale simple, subliniind necesitatea unei analize stratificate în campaniile moderne de phishing.
Sursă: https://cybersecuritynews.com/quishing-attack-with-weaponized-qr-code/
