Kötü amaçlı yazılım geliştiricileri, QR kodlarının giderek popülerleşmesinden yararlanarak, kullanıcıları PDF dosyaları yoluyla hedef alıyor. Bu kötü amaçlı PDF’ler, çoğunlukla faks gibi gizlenmiş e-postalar aracılığıyla iletiliyor ve kullanıcıları akıllı telefonlarıyla taramaya kandıran QR kodları içeriyor.
QR kodları, güvenlik güncellemeleri veya SharePoint belge bağlantıları gibi meşru kaynaklar gibi ustaca gizlenmiş kötü amaçlı yazılım indirmelerine veya kimlik avı sitelerine bağlanabilir; bu da geleneksel e-posta güvenlik kontrollerini atlatır ve kullanıcıların günlük işlerinde QR kodlarına olan güvenini artırır.
Kimlik avı dolandırıcıları, kullanıcıları zararsız görünen bir ana bilgisayar (bing.com) üzerinden kimlik avı URL’sine yönlendiren bir QR kodu kullanarak Microsoft oturum açma sayfasını taklit ediyor.
Scan Your Business Email Inbox to Find Advanced Email Threats - Try AI-Powered Free Threat Scan
Base64 kodlamasıyla gizlenen aldatıcı URL, sonunda kullanıcı kimliği ve parola gibi Microsoft hesap bilgilerini çalmak için tasarlanmış bir oturum açma sayfasına yönlendiriyor.
Kimlik avı sayfasının kendisi, Microsoft tarafından kullanılan gerçek oturum açma arayüzüne benzeyecek şekilde tasarlanıyor; bu da dolandırıcılığın başarı olasılığını daha da artırıyor.
Kimlik avı saldırıları, kullanıcıları kötü amaçlı web sitelerine kimlik bilgilerini girmeye kandırmak için QR kodlarını kullanmaya doğru evriliyor. Bu kodlar, meşru giriş sayfaları gibi görünebilecek şekilde tasarlanabiliyor ve hatta güvenilirliği artırmak için kullanıcı adı alanı önceden doldurulabiliyor.
Bir kullanıcı kimlik bilgilerini girdikten sonra, saldırgan bu bilgileri çalabilir ve kullanıcının e-postasına, kişisel bilgilerine ve muhtemelen hassas kurumsal verilerine yetkisiz erişim sağlamak için kullanabilir.
Kötü amaçlı QR kodları, mobil cihaz QR tarayıcılarındaki güvenlik açıklarını kullanarak kullanıcı onayını atlatabilir ve zararlı eylemler gerçekleştirebilir.
Bunlara, kötü amaçlı yazılımları sessizce indirip yüklemek, kullanıcıları beklenmedik ücretlere yol açan premium SMS servislerine abone etmek veya yüksek maliyetlere yol açan premium ücretli numaraları aramak dahildir.
Daha da önemlisi, QR kodu istismarları oturum açma kimlik bilgilerini çalabilir, hizmet reddi saldırıları başlatabilir, kullanıcı ağlarını tehlikeye atabilir ve hedeflenen kişilerin veya kuruluşların itibarına zarar verebilir.
SonicWall Tehlikeye Girme Göstergeleri’ne (IOC) ve kötü amaçlı olduğu düşünülen URL’lere göre, olası dosya karma değerleri, potansiyel tehditleri belirlemek için bilinen kötü amaçlı dosyaların yer aldığı bir veritabanıyla karşılaştırılabilecek onaltılık biçimde gösterilir.
URL’ler karakter değiştirme (örneğin ‘e’ yerine ‘r’) gibi tekniklerle gizleniyor.
Bu URL’lerin şifresi çözüldüğünde, kimlik avı sitelerine veya kötü amaçlı yazılım indirmelerine yol açabilir; bu IOC’leri ve URL’leri birlikte analiz etmek, güvenlik uzmanlarının siber saldırıları tespit etmesine ve önlemesine yardımcı olabilir.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files