Qr Code

A equipe de pesquisa de ameaças Socket identificou um sofisticado esquema de ofuscação em um pacote npm malicioso chamado fezbox (versão 1.3.0), publicado sob o alias ‘janedu’. Este pacote, que se apresenta como uma biblioteca utilitária de alto desempenho para JavaScript/TypeScript, esconde um payload em múltiplas camadas projetado para extrair credenciais de cookies do navegador. O ataque utiliza um QR code esteganográfico para embutir código executável, permitindo que o invasor evite análises tradicionais e envie valores de ‘username’ e ‘password’ para um servidor remoto. O fezbox exporta utilitários comuns e, em seu código minificado, contém uma função que ativa apenas em contextos de produção, após um atraso de 120 segundos. O QR code é utilizado para recuperar um script JavaScript que lê cookies específicos, ofuscando os nomes das propriedades e revertendo strings para acessar os valores de credenciais. Embora a maioria das aplicações modernas evitem armazenar credenciais em texto simples em cookies, a técnica inovadora de esteganografia baseada em QR destaca a necessidade de inspeção rigorosa de dependências. Os desenvolvedores devem estar atentos a carregadores dinâmicos inesperados e chamadas de rede pós-instalação.

Os ataques de phishing utilizando QR codes, conhecidos como ‘quishing’, estão se tornando cada vez mais sofisticados, com hackers empregando técnicas avançadas para contornar medidas de segurança tradicionais. Pesquisadores de segurança identificaram dois métodos inovadores: os QR codes divididos e os QR codes aninhados. No primeiro método, os códigos maliciosos são fragmentados em duas imagens distintas, dificultando a detecção por scanners de segurança que reconhecem apenas imagens isoladas. Um exemplo recente envolve um golpe de redefinição de senha da Microsoft, onde os atacantes usaram mensagens personalizadas para enganar as vítimas. O segundo método, os QR codes aninhados, apresenta um código malicioso dentro de um código legítimo, criando ambiguidade na detecção. Isso pode confundir tanto os sistemas de segurança quanto os usuários, pois um código aponta para um URL malicioso enquanto o outro leva a um site legítimo. Diante da evolução dessas táticas, é crucial que as organizações adotem estratégias de defesa em múltiplas camadas, incluindo treinamento de conscientização em segurança e autenticação multifatorial. A implementação de sistemas de IA multimodal também é recomendada para melhorar a detecção de phishing baseado em imagens, especialmente aqueles que utilizam QR codes.