Depuis fin 2022, le Centre de recherche avancée (ARC) de Trellix a constaté une forte augmentation des attaques de phishing via QR codes. Beaucoup de pays sont à ce jour touchés, bien que ce ne soit pas encore le cas de la France. Voici ce que les chercheurs de l’ARC ont constaté :

Campagne 1 : Attaque phishing de comptes Microsoft via QR code

Depuis la mi-mai 2023, une nouvelle technique d’attaque de phishing sévit et cible les comptes Microsoft. Son originalité, elle utilise un QR code, ce qui lui permet d’échapper à la vigilance des systèmes de sécurité qui se basent uniquement sur la détection de texte et d’URL.

Plus en détails :

• Le mail suspect contient simplement du texte et un QR code, tous les deux sous forme d’images, tandis que l’objet du mail appelle les destinataires à procéder d’urgence à une authentification multifactorielle, par exemple, en annonçant une « Mise à jour de la sécurité 2FA (Authentification à deux facteurs) ». Les destinataires sont alors invités à scanner le QR code avec leur téléphone portable.

• Cette campagne a touché plusieurs secteurs stratégiques, dont l'énergie, la finance, les télécommunications, l'informatique, les soins de santé, les transports et l’industrie.
• Les pays actuellement touchés sont : les États-Unis, le Qatar, le Danemark, la Suède, l'Australie, l'Afrique du Sud, Abu Dhabi, le Pakistan, l'Inde, Singapour et la Chine.

Campagne 2 : Fausse campagne d’aides gouvernementales en Chine à base de codes QR

Cette campagne de phishing qui utilise également des QR codes intégrés à des mails redirige cette fois vers un site d’hameçonnage copie du réseau bancaire “China Union Pay” afin de récupérer une aide octroyée par le gouvernement chinois.

Plus en détails :

• Les mails suspects promettent des aides du gouvernement chinois qui seraient octroyées par le ministère des finances et incitent les destinataires à scanner un code QR pour en bénéficier.

• Si au départ les emails contenaient une pièce jointe Word dans lequel se trouvait le QR code, plus récemment le QR code a été intégré directement au mail de phishing.

• Les pays actuellement touchés par cette campagne sont : la Chine continentale, la République de Corée, Hong Kong, le Japon, les États-Unis, l'Allemagne, la Suisse, l'Australie, l'Italie, le Royaume-Uni et l'Arabie saoudite

Dans le cadre de l’utilisation croissante des QR codes à des fins malveillantes, Trellix a récemment intégré un module de détection des tentatives de phishing par le biais de codes QR dans son produit ETP. Ce module a la capacité d’analyser les images (et donc les QR codes intégrés à un mail/une pièce jointe) ainsi que les URL associées.

Vous trouverez plus de détails sur ces recherches et les conclusions du Centre de recherche avancée de Trellix (ARC).

Pour en savoir plus sur le décryptage réalisé par l’ARC de la distribution de logiciels malveillants via Microsoft Teams orchestré par l’acteur malveillant Storm-0324.