Threat Spotlight: Geteilte und verschachtelte QR-Codes befeuern eine neue Generation von „Quishing“-Angriffen

Quishing ist eine Form des Phishings, bei der QR-Codes mit bösartigen Links eingebettet werden. Beim Scannen dieser QR-Codes werden die Opfer auf gefälschte Websites umgeleitet, die darauf ausgelegt sind, ihre Zugangsdaten oder andere sensible Informationen zu stehlen.

Bösartige QR-Codes sind aus mehreren Gründen bei Angreifern beliebt. Sie können von Menschen nicht gelesen werden, lösen daher keine Alarmsignale aus und können oft traditionelle Sicherheitsmaßnahmen wie E-Mail-Filter und Link-Scanner umgehen. Darüber hinaus müssen die Empfänger häufig auf ein mobiles Gerät wechseln, um den Code zu scannen, was die Nutzer aus dem Sicherheitsperimeter des Unternehmens und damit aus dem Schutzbereich herausführt.

Während sich Security-Tools an die Bedrohung des Quishings anpassen, haben Angreifer ihre Ansätze bereits weiterentwickelt. Barracuda hat bereits zuvor über die Entwicklung von QR-Code-Phishing-Angriffen und den Auftritt von ausgefeilteren ASCII-QR-Code-Angriffen berichtet.

In diesem Artikel untersuchen wir die neuesten Fortschritte bei QR-Code-Angriffstechniken, einschließlich geteilter QR-Codes und verschachtelter (QR-in-QR-)Codes.

QR-Codes aufteilen

Das Gabagool Phishing-as-a-Service (PhaaS)-Kit hat kürzlich eine neue Technik eingeführt, um bösartige QR-Codes der Entdeckung zu entziehen. Die Technik besteht darin, den QR-Code in zwei separate Bilder aufzuteilen und in eine Phishing-E-Mail einzubetten. Wenn herkömmliche E-Mail-Sicherheitslösungen die Nachricht scannen, sehen sie zwei unterschiedliche und harmlos aussehende Bilder anstelle eines vollständigen QR-Codes.

Die Bedrohungsanalytiker von Barracuda haben kürzlich festgestellt, dass Gabagool-Angreifer geteilte QR-Codes in einem Angriff eingesetzt haben, der als standardmäßiger Betrug mit einer Fake-E-Mail von Microsoft zum Thema „Passwort zurücksetzen“ begann. Die Verwendung von hochgradig maßgeschneiderten Nachrichten durch die Angreifer deutet darauf hin, dass sie zuvor einen erfolgreichen Angriff von Conversation-Hijacking gegen die Zielperson durchgeführt haben.

Der QR-Code in der Nachricht sieht vollständig aus, aber wenn Sie das Bild in HTML betrachten, können Sie erkennen, dass er aus zwei verschiedenen Bildern besteht. 

Wenn der Empfänger den Code scannt, wird er auf eine Phishing-Seite weitergeleitet, die darauf ausgelegt ist, seine Microsoft-Zugangsdaten zu stehlen.

Verschachtelte QR-Codes

Analysten haben gesehen, dass Tycoon 2FA PhaaS eine weitere neuartige Technik einsetzt, um bösartige QR-Codes vor der Entdeckung zu schützen. In diesem Fall ist der bösartige QR-Code in oder rund um einen legitimen QR-Code eingebettet.

Die obenstehende E-Mail zeigt, wie die beiden QR-Codes ineinander verschachtelt sind. Der äußere QR-Code verweist auf eine bösartige URL, während der innere QR-Code zu Google führt. Diese Technik macht es Scannern schwerer, die Bedrohung zu erkennen, weil die Ergebnisse mehrdeutig sind.

Verteidigung gegen sich entwickelnde QR-Codes

Neben den grundlegenden Elementen wie Schulung zur Stärkung des Risikobewusstseins, Multifaktor-Authentifizierung und robuste Spam- und Malware-Filter sollten Unternehmen eine mehrschichtige E-Mail-Schutzlösung in Betracht ziehen, die multimodale KI-Fähigkeiten integriert, um solchen sich schnell entwickelnden Bedrohungen zu begegnen.

Multimodale KI verbessert die Erkennung, indem sie Anhangsbilder rendert, um QR-Codes visuell zu lokalisieren, QR-Inhalte zu dekodieren und die Ziel-URL oder die Nutzlast zu analysieren, verdächtige Links in Sandbox-Umgebungen ausführt, um bösartiges Verhalten in Echtzeit zu erkennen, und maschinelles Lernen verwendet, um die Struktur und Pixelmuster von QR-Codes zu analysieren, ohne den eingebetteten Inhalt extrahieren zu müssen.

Die multimodale KI von Barracuda kombiniert OCR, Deep-Image-Processing und natürliche Sprachmodelle, um bildbasierte Phishing-E-Mails zu erkennen – auch solche, die nur einen QR-Code enthalten.

Die Bedrohungsanalysten von Barracuda berichten regelmäßig über sich entwickelnde E-Mail-Bedrohungen und Angriffstaktiken. Abonnieren Sie unseren Blog für Updates.