Los analistas de amenazas de Barracuda han descubierto dos técnicas innovadoras que utilizan los ciberatacantes para ayudar a los códigos QR maliciosos a evadir la detección en los ataques de phishing. Las técnicas, detalladas en un nuevo informe sobre amenazas, consisten en dividir un código QR malicioso en dos para confundir a los sistemas de escaneo tradicionales, o en anidar el código QR malicioso dentro o alrededor de un segundo código QR legítimo.

El quishing es una forma de phishing que implica el uso de códigos QR con enlaces maliciosos que, al escanearlos, redirigen a las víctimas a sitios web falsos, diseñados para robar sus credenciales u otra información confidencial. Los analistas encontraron las técnicas de división y anidamiento en los ataques de los principales kits de phishing como servicio (PhassS) Tycoon y Gabagool.

Los atacantes de Gabagool implementaron códigos QR divididos en una estafa falsa de “restablecimiento de contraseña” de Microsoft. Su técnica consiste en dividir el código QR en dos imágenes separadas e incrustarlas muy juntas en un correo electrónico de phishing. A simple vista, parece un único código QR. Sin embargo, cuando las soluciones de seguridad de correo electrónico tradicionales escanean el mensaje, ven dos imágenes distintas y de aspecto benigno en lugar de un código QR completo. Si el destinatario escanea la imagen, se le redirige a un sitio web de phishing diseñado para robar credenciales.

Se descubrió que Tycoon PhaaS utilizaba la técnica de anidamiento para envolver un código QR malicioso alrededor de un código QR legítimo. El código QR externo tóxico apuntaba a una URL maliciosa, mientras que el código QR interno conducía a Google. Es probable que esta técnica esté diseñada para dificultar la detección de la amenaza por parte de los escáneres, ya que los resultados son ambiguos.

“Los códigos QR maliciosos son muy populares entre los atacantes porque parecen legítimos y pueden eludir las medidas de seguridad tradicionales, como los filtros de correo electrónico y los escáneres de enlace”, afirma Saravan Mohankumar, director del equipo de análisis de amenazas de Barracuda. “Dado que los destinatarios a menudo tienen que cambiar a un dispositivo móvil para escanear el código, esto puede sacar a los usuarios del perímetro de seguridad de la empresa y alejarlos de la protección. Los atacantes seguirán probando nuevas técnicas para ir un paso por delante de las medidas de seguridad adaptadas. Es un ámbito en el que la protección integrada y basada en la inteligencia artificial puede marcar realmente la diferencia”.

Defensa contra los códigos QR en constante evolución

Además de los aspectos básicos esenciales de la formación en materia de seguridad, la autenticación multifactorial y los filtros robustos de spam y correo electrónico, las organizaciones deben considerar la posibilidad de implementar una protección de correo electrónico multicapa que integre la capacidad de IA multimodal para detectar amenazas en rápida evolución. La IA multimodal mejora la detección al identificar, decodificar e inspeccionar el código QR sin necesidad de extraer el contenido incrustado.