De tout temps, les QR codes ont été détournés de leur but premier pour servir de vecteurs d’attaques. Selon Trellix, ils redeviennent en vogue chez les cyberattaquants avec une série de nouvelles attaques les exploitant.

Le QR code, cet étrange dessin de carrés blancs et noirs, permet de représenter graphiquement toute sorte d’informations. Il suffit de le photographier avec un smartphone pour être redirigé vers une URL, un site Web, une app mobile, etc. Il est redevenu très en vogue après le premier confinement dans les bars et restaurants pour éviter le partage et la distribution de cartes de menus.

Mais parce qu’il n’est pas directement compréhensible par l’œil humain tout en étant facile à créer et détourner, il est aussi rapidement devenu un vecteur d’attaques pour les acteurs malveillants. Très en vogue durant les années Covid, les attaques par QR codes reviennent en force comme en témoigne une nouvelle étude Trellix qui a mis en évidence deux vastes campagnes les exploitant.

Deux attaques similaires

La première vague vise clairement les propriétaires de comptes Microsoft (utilisateurs de Windows, Outlook, Skype, Xbox, etc.) et Microsoft 365.  Elle s’appuie sur un mail suspect principalement composé d’images (même le texte est sous forme d’image) et qui présente un QR code afin de mieux contourner les protections des messageries. L’email invite les destinataires à procéder d’urgence à une authentification multifactorielle, par exemple, en annonçant une « Mise à jour de la sécurité 2FA (Authentification à deux facteurs) » en scannant le QR code avec leur téléphone portable. Touchant tous les secteurs (énergie, industrie, finance, télécoms, informatique, santé, transports…), la campagne a été déployée principalement aux États-Unis, Qatar, Danemark, Suède, Australie, Afrique du Sud, Abu Dhabi, Pakistan, Inde, Singapour et Chine.

La seconde vague vise plus précisément les ressortissants chinois avec un email faisant référence à des subventions du gouvernement chinois que l’on peut recevoir en scannant un QR code.

Objectif : éviter toute détection

Utiliser ainsi des QR-codes permet de duper plus facilement les éventuelles protections du système ou du navigateur qui reposent en général sur une analyse des URL directement embarquées. Représentée sous forme de QR codes, les URL malveillantes sont masquées et illisibles pour la plupart des protections (on notera au passage que Trellix fait partie de ces acteurs disposant de boucliers anti-attaques par QR code).

Dans les deux cas, les techniques d’évasion sont assez similaires :
– Utilisation d’un QR code pour rediriger l’internaute vers une page qui paraît licite (domaines comme amazonaws.com ou cloudflare-ips.com.
– Redirection automatique vers un domaine malveillant nouvellement créé.
– Exploitation détournée du mécanisme anti-bot de cloudflare pour mieux duper les protections embarquées sur les machines et dans les navigateurs.
– Demande de vérification par mécanisme Captcha pour contrôler que l’utilisateur est bien un humain et perturber les éventuels boucliers installés.

Au final, l’objectif est en général d’amener l’utilisateur à saisir ses identifiants ou encore de profiter de failles non corrigées pour pousser un malware sur la machine de l’internaute.

Dit autrement, l’utilisateur doit toujours se montrer très vigilant envers toutes formes de QR codes et avoir conscience que ces pictogrammes sont un vecteur d’attaques et peuvent servir de support à des campagnes de phishing. Et un utilisateur averti en vaut deux…

 

À lire également :

Quelle technologie pour protéger efficacement l’entreprise des cyberattaques ?

Trellix : un nouvel acteur cybersécurité né de la fusion McAfee – FireEye

Les attaques par email sont capables de contourner la sécurité

Quand les QR Codes se révèlent être des menaces Cyber

Pourquoi l’email est toujours le principal vecteur de cyberattaques ?