Phishing con código QR

17 de junio de 2024

Hay una campaña de phishing en curso que utiliza códigos QR incrustados en documentos PDF adjuntos a correos electrónicos. Los PDF suplantan servicios legítimos como DocuSign, y con frecuencia se utiliza el nombre de la organización de la víctima en el asunto o dentro del documento para añadir legitimidad. El uso de códigos QR a través del correo electrónico visto por Mimecast a menudo supera los 3,5 millones diarios, lo que pone de manifiesto lo frecuente que puede llegar a ser este tipo de ataque. Para esta campaña entre el 1 de abril y el 5 de junio de 2024 se han producido más de 70 000 detecciones.

Nota: QR sustituido por QR que lleva a Google por seguridad.

Objetivos:

Global, todos los sectores

IOC:

Dominio del remitente:
farmasocio[.]com

Dirección de correo electrónico del remitente:
{dominio_de_la_víctima}@farmasocio[.]com
support@farmasocio[.]com

Asunto:
Existen múltiples variaciones

• Documento para firma electrónica: Por favor, revise y firme su solicitud de pago de fondos de jubilación retenidos por la ATO (Declaración de Impuestos 2023)
• Respuesta obligatoria: Documento(s) para firma electrónica: Revise y firme su solicitud de pago de los fondos de jubilación retenidos por HMRC - Declaración de la declaración de impuestos de 2023

Nombres de archivo:
Existen múltiples variaciones

• Disposition-Notification.pdf
• Supermatum Funds Revised HMRC Settlement Statement.pdf

Sha 256 del archivo adjunto:
Existen múltiples variaciones

• C6a589ac4cd20896ab1ab308e3e80f8fea21fb51fdbd05dc1cf8c35b1bb65edc
• 1dd8d125e6d2771816a13813f2c0c96908f8b145092709cd2eaf91fea9a6c167