Обнаружена новая масштабная кампания QR-фишинга, нацеленная на пользователей экосистемы Microsoft. Злоумышленники рассылают письма, маскирующиеся под уведомления от сервиса электронной подписи DocuSign, с требованием просмотреть и подписать документ. В тело письма встроен QR-код, при сканировании которого пользователь попадает на фишинговую страницу для кражи учетных данных.
Особенностью атаки стало применение прогрессивных методов обхода защитных систем. QR-код разделен на два отдельных графических элемента внутри PDF-документа, что позволяет обходить сигнатурный анализ антивирусных решений, ориентированных на поиск цельных изображений QR-кодов. Кроме того, вместо стандартной цветовой палитры используется нестандартная схема окрашивания, затрудняющая детектирование средствами эвристического анализа.
Наиболее изощренной техникой стало программное формирование QR-кода через команды потоков содержимого PDF. Это позволяет точно отображать код для мобильных сканеров, одновременно избегая встраивания распознаваемых графических файлов. Такой подход эффективно обходит системы безопасности, основанные на анализе извлеченных изображений.
После сканирования QR-кода пользователь перенаправляется на поддельную страницу входа Microsoft с профессионально скопированным интерфейсом. Введенные учетные данные перехватываются в реальном времени, предоставляя злоумышленникам доступ к корпоративной почте, документам OneDrive и другим облачным сервисам платформы.
Получив доступ к учетным записям, киберпреступники могут обходить многофакторную аутентификацию через имитацию push-уведомлений или изменять настройки аккаунтов для сохранения доступа. Скомпрометированные учетные записи также используются для рассылки фишинговых сообщений внутри организаций, усиливая атаку за счет доверительных отношений между сотрудниками.
Эксперты отмечают, что украденные данные могут продаваться на теневых форумах, а в некоторых случаях атаки перерастают в развертывание программ-вымогателей или вредоносного ПО для сбора информации внутри корпоративной сети.
Для противодействия новой угрозе требуется комплексный подход, сочетающий технические средства защиты, обучение пользователей и планирование реагирования на инциденты. Организациям рекомендуется внедрять расширенный анализ PDF-документов, включая проверку команд потоков содержимого на предмет обнаружения программно формируемых QR-кодов. Современные системы защиты от угроз должны быть настроены на выявление аномалий, таких как множественные графические объекты, формирующие единый QR-код.
