Nova sofisticirana phishing kampanja koja koristi QR kodove za krađu Microsoft 365 akreditiva za prijavu pojavila se u okruženju sajber sigurnosti.
Ovaj napad predstavlja značajnu evoluciju u taktici krađe identiteta, kombinujući društveni inženjering sa tehničkom sofisticiranošću kako bi se zaobišle tradicionalne mjere sigurnosti e-pošte .
Kampanja posebno cilja na korporativne korisnike, iskorišćavajući sve veću normalizaciju QR kodova u svakodnevnom poslovanju.
Napad počinje tako što žrtve primaju naizgled legitimne e-poruke koje navodno dolaze od Microsofta ili IT odjela, tvrdeći da korisnici moraju provjeriti svoje račune ili da im lozinke ističu.
.webp)
Umjesto uključivanja sumnjivih linkova koji bi mogli pokrenuti sigurnosna upozorenja, ove e-poruke sadrže QR kodove koje žrtvama nalaže da skeniraju svojim mobilnim uređajima.
Ovaj pristup pametno zaobilazi mnoga sigurnosna rješenja e-pošte koja skeniraju maliciozne URL-ove ili priloge.
Sigurnosni istraživači Palo Alto Networks identifikovali su ovu prijetnju početkom marta 2025. godine, primjećujući značajan porast pokušaja krađe identiteta baziranih na QR kodovima usmjerenih na poslovne korisnike.
Njihova analiza otkriva da je ova kampanja uspješno ugrozila akreditive organizacija u više sektora, a posebno su pogođene finansijske usluge i zdravstvena zaštita.
Kada se skenira, QR kod preusmjerava korisnike na uvjerljive replike stranica za prijavu dizajnirane za prikupljanje Microsoft 365 akreditiva.
.webp)
Sofisticiranost ovih stranica je primjetna, s napadačima koji implementiraju JavaScript koji potvrđuje formate e-pošte prije slanja, stvarajući uvjerljivije korisničko iskustvo dok filtriraju ciljeve niske kvalitete.
Tehnička analiza mehanizma QR preusmjeravanja
QR kodovi ugrađuju specijalizovane URL-ove koji pokreću složeni lanac preusmjeravanja kako bi izbjegli otkrivanje.
Početno preusmjeravanje prolazi kroz naizgled benigne domene prije nego što dođe na stranicu za krađu identiteta.
.webp)
Ispitivanje izvornog koda phishing stranice otkriva sofisticirane tehnike zamagljivanja:-
function validateCredentials() {
const email = document.getElementById('email').value;
const password = document.getElementById('password').value;
if(email.match(/^[^\s@]+@[^\s@]+\.[^\s@]+$/) && password.length > 5) {
sendData(email, password);
window.location = "https://outlook.office.com/mail/";
} else {
document.getElementById('error-message').style.display = 'block';
}
}Ovaj isječak koda pokazuje kako napad potvrđuje i eksfiltrira korisničke kredencijale, a istovremeno preusmjerava žrtve na legitimne Microsoftove usluge nakon kompromisa, ostavljajući korisnike nesvjesnim kršenja.
Izvor: CyberSecurityNews
