Qr Code

Nos últimos tempos, a popularidade dos QR Codes cresceu, especialmente em locais públicos, onde muitos usuários os escaneiam em busca de conteúdos divertidos. No entanto, essa prática pode ser extremamente arriscada. Cibercriminosos estão utilizando QR Codes falsos para aplicar golpes, como phishing, que visam roubar dados pessoais e financeiros. Um exemplo comum é o uso de QR Codes que prometem ‘Wi-Fi Grátis’, mas que redirecionam os usuários para sites fraudulentos que imitam páginas legítimas, capturando informações sensíveis. Além disso, os golpistas podem induzir vítimas a realizar transferências financeiras erradas por meio de códigos falsos, como no caso do golpe do Pix. Outro risco é a instalação de malwares, que podem comprometer dispositivos móveis ao baixar arquivos maliciosos. Os QR Codes também podem conectar usuários a redes Wi-Fi maliciosas, permitindo que criminosos monitorem o tráfego de dados. Por fim, mesmo que menos grave, o direcionamento para conteúdos impróprios pode causar constrangimento. Portanto, é fundamental ter cautela ao escanear QR Codes desconhecidos, especialmente em ambientes públicos.

Pesquisadores em cibersegurança identificaram uma campanha de quishing sofisticada que utiliza técnicas avançadas de manipulação de códigos QR para atacar usuários da Microsoft, conseguindo evadir sistemas tradicionais de detecção de segurança. Essa nova abordagem representa uma evolução significativa nas táticas de phishing baseadas em QR codes, empregando múltiplas estratégias de evasão que desafiam as defesas cibernéticas convencionais.

Os atacantes implementaram três mecanismos distintos para evitar a detecção: a primeira técnica envolve a divisão dos códigos QR em dois arquivos de imagem separados, dificultando a análise por ferramentas automatizadas. Além disso, abandonaram os esquemas de cores padrão, utilizando combinações não convencionais que podem confundir sistemas de reconhecimento óptico. A técnica mais sofisticada consiste em desenhar os códigos QR diretamente através da manipulação do fluxo de conteúdo, permitindo que o código malicioso exista dentro do documento, contornando sistemas de detecção baseados em imagens.

A equipe de pesquisa de ameaças Socket identificou um sofisticado esquema de ofuscação em um pacote npm malicioso chamado fezbox (versão 1.3.0), publicado sob o alias ‘janedu’. Este pacote, que se apresenta como uma biblioteca utilitária de alto desempenho para JavaScript/TypeScript, esconde um payload em múltiplas camadas projetado para extrair credenciais de cookies do navegador. O ataque utiliza um QR code esteganográfico para embutir código executável, permitindo que o invasor evite análises tradicionais e envie valores de ‘username’ e ‘password’ para um servidor remoto. O fezbox exporta utilitários comuns e, em seu código minificado, contém uma função que ativa apenas em contextos de produção, após um atraso de 120 segundos. O QR code é utilizado para recuperar um script JavaScript que lê cookies específicos, ofuscando os nomes das propriedades e revertendo strings para acessar os valores de credenciais. Embora a maioria das aplicações modernas evitem armazenar credenciais em texto simples em cookies, a técnica inovadora de esteganografia baseada em QR destaca a necessidade de inspeção rigorosa de dependências. Os desenvolvedores devem estar atentos a carregadores dinâmicos inesperados e chamadas de rede pós-instalação.

Os ataques de phishing utilizando QR codes, conhecidos como ‘quishing’, estão se tornando cada vez mais sofisticados, com hackers empregando técnicas avançadas para contornar medidas de segurança tradicionais. Pesquisadores de segurança identificaram dois métodos inovadores: os QR codes divididos e os QR codes aninhados. No primeiro método, os códigos maliciosos são fragmentados em duas imagens distintas, dificultando a detecção por scanners de segurança que reconhecem apenas imagens isoladas. Um exemplo recente envolve um golpe de redefinição de senha da Microsoft, onde os atacantes usaram mensagens personalizadas para enganar as vítimas. O segundo método, os QR codes aninhados, apresenta um código malicioso dentro de um código legítimo, criando ambiguidade na detecção. Isso pode confundir tanto os sistemas de segurança quanto os usuários, pois um código aponta para um URL malicioso enquanto o outro leva a um site legítimo. Diante da evolução dessas táticas, é crucial que as organizações adotem estratégias de defesa em múltiplas camadas, incluindo treinamento de conscientização em segurança e autenticação multifatorial. A implementação de sistemas de IA multimodal também é recomendada para melhorar a detecção de phishing baseado em imagens, especialmente aqueles que utilizam QR codes.