Quishing: pishing en QR
La empresa Cofense dice que el ataque comienza con un correo electrónico de phishing que afirma que el destinatario debe tomar medidas para actualizar la configuración de su cuenta de Microsoft 365.
Los correos electrónicos contienen archivos adjuntos PNG o PDF con un código QR que el destinatario debe escanear para verificar su cuenta. Los correos electrónicos también indican que el objetivo debe completar este paso en 2 o 3 días para agregar una sensación de urgencia.
Para evadir la seguridad, los códigos QR de esta campaña también utilizan redireccionamientos en los servicios Web3 de Bing, Salesforce y Cloudflare para redirigir a los objetivos a una página de phishing de Microsoft 365.
Ocultar la URL de redireccionamiento en el código QR, abusar de servicios legítimos y utilizar codificación Base64 para el enlace de phishing ayudan a evadir la detección y superar los filtros de protección del correo electrónico. El acceso inicial al host víctima se logra forzando brutas el servidor MS SQL, usándolo para enumerar la base de datos y aprovechando la opción de configuración xp_cmdshell para ejecutar comandos de shell y realizar reconocimiento.
La siguiente etapa implica tomar medidas para deteriorar el firewall del sistema y establecer la persistencia conectándose a un recurso compartido SMB remoto para transferir archivos hacia y desde el sistema víctima, así como instalar herramientas maliciosas como Cobalt Strike.
