Microsoft kullanıcıları, kötü amaçlı e-postalara yerleştirilmiş silah haline getirilmiş QR kodlarından yararlanan yeni bir yok etme kampanyasıyla karşı karşıya.
Ekim 2025’in başlarında ortaya çıkan bu saldırı, QR tabanlı kimlik doğrulama ve cihaz eşleştirme iş akışlarına duyulan güveni istismar ederek hedefleri kandırarak bilgi hırsızı ikili dosyaları sağlayan kodları taramaya yönlendiriyor.
Gen Threat Labs analistleri, kurumsal Office 365 bildirimlerinde Microsoft markasını taklit eden anormal QR eklerini fark ettiğinde ilk raporlar ortaya çıktı.
Kodları tarayan alıcılar, aşamalı yük teslim sırasını barındıran, güvenliği ihlal edilmiş bir Azure CDN düğümüne yönlendirildi.
Ortaya çıkmasının ardından araştırmacılar birden fazla enfeksiyon vektörü tespit etti. Bunlardan biri, Microsoft Teams uyarısı olduğu iddia edilen ve kullanıcılara acil bir güvenlik sorununu çözmek için bir QR kodunu taramaları talimatını veren bir kimlik avı e-postasını içeriyor.
Bir diğeri, Microsoft Authenticator kayıt istemini taklit ederek tarama sırasında “gelişmiş oturum açma koruması” vaat ediyor. Birçok kuruluş QR tabanlı çok faktörlü kurulumu teşvik ettiğinden, bu yemler ilk bakışta meşru görünüyor.
Gen Threat Labs araştırmacıları, kurbanların tanıdık Microsoft logolarını ve doğru biçimlendirilmiş bağlantıları gördüklerini, bunun da kampanyanın erişimini ve başarı oranını artırdığını belirtti.
Etki, kimlik bilgileri hırsızlığını ve sistemin ele geçirilmesini kapsar. QR kodu tarandıktan sonra kurbanlar, kötü amaçlı bir yeniden yönlendirici komut dosyasına çözümlenen kısa bir URL alır.
Bu komut dosyası, Paketlenmiş Infostealer (PI) yürütülebilir dosyasını indirmeden önce Windows yerel ayarını, yüklü Defender sürümlerini ve sanal alan göstergelerini doğrulayarak çevresel kontroller gerçekleştirir.
Bu ikili program, “MSAuthSync” adlı zamanlanmış bir görev oluşturarak, her kullanıcı oturum açmasında yürütülmesini sağlayarak kalıcılık sağlar. Çıkarılan kimlik bilgileri ve ana bilgisayar telemetrisi, HTTPS üzerinden saldırgan tarafından kontrol edilen uç noktalara sızdırılır.
Enfeksiyon Mekanizması
Bu susturma saldırısındaki önemli bir yenilik, Kaçınmanın QR Kodu teknik. Kötü amaçlı yazılım, tek bir QR görüntüsünü gömmek yerine, kodu PDF içerik akışları aracılığıyla çizilen iki örtüşen görüntüye böler.
Standart QR kod çözücüler, standart olmayan renk paletlerini ve bölünmüş bölümleri göz ardı eder, ancak özel ayrıştırıcı, kod çözmeden önce görüntü katmanlarını yeniden birleştirir.
Aşağıdaki Python pasajı, bir savunmacının bu tür bölünmüş QR kodlarını nasıl yeniden oluşturabileceğini ve kodunu çözebileceğini göstermektedir: –
from PIL import Image
import zbarlight
# Load the two image layers
layer1 = Image.open('qr_part1.png').convert('RGB')
layer2 = Image.open('qr_part2.png').convert('RGB')
# Recombine by taking the brighter pixel from each
merged = Image.new('RGB', layer1.size)
pixels1, pixels2 = layer1.load(), layer2.load()
for x in range(layer1.width):
for y in range(layer1.height):
pixels = pixels1[x, y] if sum(pixels1[x, y]) > sum(pixels2[x, y]) else pixels2[x, y]
merged.putpixel((x, y), pixels)
# Decode the merged QR code
codes = zbarlight.scan_codes('qrcode', merged)
print('Decoded URL:', codes[0].decode())Bu yaklaşım, silah haline getirilmiş QR görüntülerinin hem statik AV imzalarından hem de basit görsel incelemelerden nasıl kaçabildiğini vurgulayarak, modern kimlik avı kampanyalarında katmanlı analiz ihtiyacının altını çiziyor.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
