Phishing con codice QR
17 giugno 2024
Cosa imparerai in questa notifica
- Sono stati osservati circa 70.000 messaggi che abusavano dei codici QR incorporati negli allegati, impersonando Docusign e altri servizi cloud
- I codici QR aiutano gli aggressori a eludere la sicurezza aziendale tramite l'uso di dispositivi personali.
- L'intento principale era quello di rubare le credenziali dei destinatari probabilmente per venderle a scopo di lucro.
È in corso una campagna di phishing che utilizza codici QR incorporati nei documenti PDF allegati alle email. I PDF si spacciano per servizi legittimi come DocuSign e spesso il nome dell'organizzazione della vittima viene utilizzato nell'oggetto o all'interno del documento per conferire legittimità. L'uso dei codici QR tramite email osservato da Mimecast spesso supera i 3,5 milioni al giorno, evidenziando quanto questo tipo di attacco possa potenzialmente diventare diffuso. Per questa campagna tra il 1° aprile e il 5 giugno 2024, ci sono stati oltre 70.000 rilevamenti.
Nota: il QR è stato sostituito con un QR che porta a Google per motivi di sicurezza.
Obiettivi:
Globale, tutti i settori
Indicatori di compromissione
Dominio del mittente:
farmasocio[.]com
Indirizzo email del mittente:
{victimdomain}@ farmasocio[.]com
support@farmasocio[.]com
Oggetto:
Esistono molteplici varianti
- Documento per la firma elettronica: si prega di esaminare e firmare la domanda di pagamento dei fondi pensionistici detenuti da ATO (dichiarazione dei redditi 2023)
- Risposta richiesta: documento/i per la firma elettronica: si prega di leggere e firmare la sua richiesta di pagamento dei fondi di superannuation trattenuti da HMRC - Dichiarazione dei redditi 2023
Nomi dei file:
Esistono diverse varianti
- Disposition-Notification.pdf
- Supermatum Funds Revised HMRC Settlement Statement.pdf
Sha 256 dell'allegato:
Esistono diverse varianti
- C6a589ac4cd20896ab1ab308e3e80f8fea21fb51fdbd05dc1cf8c35b1bb65edc
- 1dd8d125e6d2771816a13813f2c0c96908f8b145092709cd2eaf91fea9a6c167
