Quishing veya QR kodlu kimlik avı, tehdit aktörlerinin e-posta güvenlik tarayıcılarını atlatmak için taktiklerini uyarlamasıyla hızla gelişiyor.
Tehdit aktörleri, kimlik avı kampanyalarına QR kodlarını dahil ederek ek bir kaçınma katmanı eklediler ve geleneksel güvenlik çözümlerinin tespit etmesini zorlaştırdılar.
“Quishing 2.0” adı verilen son yineleme, her zamankinden daha kaçamak taktiklerle ortaya çıktı.
Perception Point’in güvenlik araştırma ekibi tarafından yakın zamanda keşfedilen bir saldırı önleme kampanyası, bu tür saldırıların ne kadar karmaşık olduğunu ortaya koyuyor.
Tehdit aktörleri, SharePoint ve çevrimiçi QR tarama hizmetleri gibi yaygın olarak güvenilen platformları, bugün neredeyse her e-posta güvenlik çözümünün atlattığı bir şekilde birleştirerek kullanıyor.
CISO’larla tanışın, uyumluluğu öğrenmek için Sanal Panele katılın – Ücretsiz Katıl
Quishing 2.0 Saldırısının İzlenmesi
1. E-posta Mesajı: Hedef, bazen sahte bir alan adı ve tanıdık bir iş ortağının taklidiyle gerçek bir işletmeden geliyormuş gibi görünen bir e-posta alır. Konu satırı ve ekli PDF dosyası, bunun bir Satınalma Siparişi (PO) olduğunu gösterir.
2. PDF Eki: PDF belgesinin içinde hedef, tam satın alma siparişini görüntülemek için tarama talimatlarıyla birlikte büyük bir QR kodu görür.
PDF’de taklit edilen işletmenin fiziksel adresi de yer alıyor ve bu da güvenilirliğini daha da artırıyor.
3. QR Tarama Hizmeti (Me-QR): Hedef kişi QR kodunu taradığında meşru bir QR kodu oluşturma ve tarama hizmeti olan me-qr.com’a yönlendiriliyor.
Sayfada QR kodunun başarıyla tarandığı, “Reklamı Geç” etiketli bir düğmeyle belirtiliyor. Bu adım, güvenilir bir hizmet kullandığı için başka bir özgünlük katmanı daha ekliyor.
4. SharePoint Klasörü: “Reklamı atla” düğmesine tıklamak alıcıyı, taklit edilen işletmeye bağlıymış gibi görünen gerçek bir SharePoint sayfasına yönlendirir. Saldırının kötü niyetli niyeti gizlemek için güvenilir hizmetlerden tam olarak yararlandığı yer burasıdır.
5. .url Dosyası ve M365 Kimlik Avı Sayfası: Alıcı SharePoint’teki dosyaya tıkladığında son veri yüküne, yani sahte bir OneDrive sayfasına yönlendiriliyor.
Kurbanın kimlik bilgilerini çalmak için tasarlanan Microsoft 365 oturum açma formu, arka planda sipariş emrinden taranmış fatura dosyaları gibi görünen dosyaların üzerinde beliriyor.
Kaçınma Tekniği
Quishing 2.0 iki QR kodu içerir. İlk veya “Kötü” QR kodu, tehlikeye atılmış veya sahte bir işletme hesabıyla ilişkilendirilmiş meşru SharePoint sayfasına yönlendirir ve ardından kötü amaçlı kimlik avı sayfasına yönlendirir.
Saldırgan bu QR kodunu me-qr.com gibi bir çevrimiçi QR tarama hizmetine yükler, bu da URL’yi çıkarır ve bir reklamdan sonra sunar. Tehdit aktörleri bu sonuç/reklam sayfasından ikinci bir “Temiz” QR kodu üretir.
Bu “Temiz” QR kodu, hedeflerin PDF ekinde göreceği ve etkileşimde bulunacağı, tamamen meşru görünen ve ilk e-posta güvenlik taramalarını atlatan koddur.
Perception Point’in Gelişmiş E-posta Güvenliği, Quishing 2.0 katmanlarını parçalamak ve gerçek kötü amaçlı içeriği belirlemek için Dinamik URL Analizi ve bilgisayarlı görüş kullanır.
Gelişmiş Nesne Algılama Modeli, web sayfalarının içeriğini bir kullanıcının göreceği şekilde analiz ederek, düğmeler veya oturum açma formları gibi tıklanabilir öğeleri tespit eder.
Recursive Unpacker ile eşleştirilen Perception Point, saldırının tam yolunu izlemek için bu öğeler arasında otomatik olarak tıklar ve görünüşte meşru hizmetler ve QR kodları katmanlarının altında gizlenmiş kötü amaçlı yükleri ortaya çıkarır.
Bu çok katmanlı tespit yığını, her türden saldırılara karşı sağlam, gerçek zamanlı koruma sağlayarak, gelişen tehditlerle mücadele için gelişmiş güvenlik çözümlerine olan ihtiyacı vurguluyor.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14-day free trial