Les campagnes de phishing exploitant des QR codes malveillants se multiplient, indique Trellix. Les chercheurs ont découvert deux nouvelles opérations qui se servent habilement de ceux-ci pour échapper aux antivirus. Toujours très populaire, le QR code est un moyen d’attaque efficace pour les cybercriminels.

Les chercheurs en cybersécurité de Trellix ont constaté une forte recrudescence des QR Codes malveillants depuis la fin de l’année dernière. Dans un rapport publié ce 10 octobre 2023, les experts détaillent deux campagnes de phishing identifiées récemment. Ces deux opérations « utilisent des codes QR comme principal mécanisme pour échapper à la détection ».
Grâce à cette astuce, les pirates n’ont pas besoin de glisser d’adresse URL relayant vers des sites frauduleux dans les courriels de phishing. De facto, la plupart des antivirus ne sont pas en mesure de déceler la présence d’une activité malveillante. Comme l’explique Trellix, les antivirus ont besoin « de texte lisible et d’URL » pour détecter une attaque. C’est une tactique bien connue des cybercriminels.

Comment les pirates cherchent à vous piéger avec un QR code ?
La première campagne de phishing identifiée par Trellix, active depuis mai dernier, vise les utilisateurs de produits Microsoft. Les pirates demandent aux internautes de « prendre des mesures urgentes concernant l’authentification multifacteur ». Pour échapper aux antivirus, les hackers s’appuient uniquement sur des images dans le courriel de phishing. Le texte est en effet visible dans une capture d’écran, aux côtés du QR Code. Dans certains cas, celui-ci est placé dans un PDF en pièce jointe.
Sans surprise, ce texte encourage les victimes à scanner dans les plus brefs délais le QR Code. Celui-ci relaie alors l’internaute vers une plateforme malveillante qui va réclamer ses identifiants et mots de passe. Là encore, les pirates ont mis en place un nouveau mécanisme pour échapper aux antivirus. Ils ont placé un Captcha, où l’utilisateur est invité à effectuer un clic spécifique sur une interface pour prouver qu’il est humain, factice. Ce mécanisme perturbe les outils conçus pour détecter une adresse URL. Selon Trellix, la campagne est « très répandue » et vise « presque tous les secteurs comme le carburant et l’énergie, la finance et la banque, les télécommunications, l’informatique et les logiciels, les soins de santé, les transports et la fabrication ».

Lire l’article complet sur : www.01net.com