{"id":25633,"date":"2025-01-02T07:21:01","date_gmt":"2025-01-02T15:21:01","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2025\/01\/02\/news-19356\/"},"modified":"2025-01-02T07:21:01","modified_gmt":"2025-01-02T15:21:01","slug":"news-19356","status":"publish","type":"post","link":"https:\/\/www.palada.net\/index.php\/2025\/01\/02\/news-19356\/","title":{"rendered":"Des QR Codes \u00e0 la compromission : la menace croissante du “quishing”"},"content":{"rendered":"

Credit to Author: Andrew Brandt| Date: Wed, 20 Nov 2024 13:42:40 +0000<\/strong><\/p>\n

\n

Les professionnels de la s\u00e9curit\u00e9 sont toujours \u00e0 l\u2019aff\u00fbt de l\u2019\u00e9volution des techniques malveillantes. L’\u00e9quipe Sophos X-Ops<\/a> a r\u00e9cemment enqu\u00eat\u00e9 sur des attaques de phishing ciblant plusieurs de nos employ\u00e9s, dont l’un a \u00e9t\u00e9 amen\u00e9 \u00e0 divulguer ses informations.<\/p>\n

Les attaquants ont utilis\u00e9 ce qu\u2019on appelle le quishing<\/strong> (une combinaison de “QR Code” et de “phishing”). Les QR Codes sont un m\u00e9canisme de codage lisible par machine qui peut encapsuler une grande vari\u00e9t\u00e9 d’informations, des lignes de texte aux donn\u00e9es binaires, mais la plupart des gens connaissent et reconnaissent leur utilisation la plus courante aujourd’hui comme moyen rapide de partager une URL.<\/p>\n

Dans le secteur de la s\u00e9curit\u00e9, nous enseignons g\u00e9n\u00e9ralement aux gens la r\u00e9silience vis \u00e0 vis du phishing en leur demandant d’examiner attentivement une URL avant de cliquer dessus sur leur ordinateur. Cependant, contrairement \u00e0 une URL en clair, les QR Codes n\u2019incitent pas au m\u00eame examen minutieux.<\/p>\n

De plus, la plupart des gens utilisent l’appareil photo de leur t\u00e9l\u00e9phone pour interpr\u00e9ter le QR Code, plut\u00f4t qu’un ordinateur, et il peut \u00eatre difficile d’examiner attentivement l’URL qui s’affiche momentan\u00e9ment dans l’application appareil photo du t\u00e9l\u00e9phone, car l’URL peut n’appara\u00eetre que pendant quelques secondes seulement avant que l’application ne masque l’URL. Sans oublier \u00e9galement que les acteurs malveillants peuvent utiliser diverses techniques ou services de redirection d’URL qui masquent ou obfusquent la destination finale du lien pr\u00e9sent\u00e9 dans l’interface de l’application appareil photo.<\/p>\n

Comment une attaque de quishing se d\u00e9roule\u00a0?<\/h2>\n

Les acteurs malveillants ont envoy\u00e9 \u00e0 plusieurs cibles au sein de Sophos un document PDF contenant un QR Code dans une pi\u00e8ce jointe \u00e0 un email en juin 2024. Les emails de spearphishing ont \u00e9t\u00e9 con\u00e7us pour appara\u00eetre comme des emails l\u00e9gitimes et ont \u00e9t\u00e9 envoy\u00e9s \u00e0 l\u2019aide de comptes de messagerie compromis, l\u00e9gitimes et non Sophos.<\/p>\n

Pour r\u00e9sumer : ce n\u2019\u00e9taient pas les premiers emails de quishing que nous avions vus ; les employ\u00e9s ont \u00e9t\u00e9 cibl\u00e9s par une autre vague en f\u00e9vrier, puis par une autre encore en mai. Les clients ont \u00e9t\u00e9 cibl\u00e9s par des campagnes similaires depuis au moins un an. X-Ops a d\u00e9cid\u00e9 de se concentrer sur les attaques ciblant Sophos car nous disposions de l’autorisation compl\u00e8te pour les investiguer et les partager.<\/em><\/p>\n

Les lignes d\u2019objet des messages donnaient l\u2019impression qu\u2019ils provenaient de l\u2019entreprise, comme s\u2019il s\u2019agissait d\u2019un document envoy\u00e9 directement par email \u00e0 partir d\u2019un scanner en r\u00e9seau de bureau.<\/p>\n

\"quishing\"<\/a><\/p>\n

L’email de quishing d’origine ciblant un employ\u00e9 de Sophos contenait plusieurs incoh\u00e9rences et erreurs, notamment une incoh\u00e9rence au niveau du nom de fichier de la pi\u00e8ce jointe dans le corps, du texte manquant dans l’objet et le corps, et un nom d’exp\u00e9diteur qui ne correspondait pas au format habituel de l’entreprise.<\/em><\/p>\n

Le principal probl\u00e8me venait du fait que l\u2019email cens\u00e9 provenir d’un scanner contenait dans le corps du message un nom de fichier pour le document qui, par rapport \u00e0 tous les messages que nous avions re\u00e7us ce jour-l\u00e0, ne correspondait pas au nom de fichier du document joint \u00e0 l’email.<\/p>\n

De plus, l\u2019un des messages avait pour objet “Remittance Arrived<\/em>“, qu\u2019un scanner de bureau automatis\u00e9 n\u2019aurait pas utilis\u00e9, car il s\u2019agit d\u2019une interpr\u00e9tation plus g\u00e9n\u00e9ralis\u00e9e du contenu du document num\u00e9ris\u00e9. L\u2019autre message avait pour objet “Employment benefits proprietary information and\/or retirements plan attache=”<\/em>\u00a0qui semblait \u00eatre tronqu\u00e9 \u00e0 la fin.<\/p>\n

\"quishing\"<\/a><\/p>\n

Dans un deuxi\u00e8me email ciblant un autre employ\u00e9, le nom de la pi\u00e8ce jointe ne correspondait pas encore au nom indiqu\u00e9 dans le corps. Comment un scanner ferait pour cr\u00e9er cette ligne d’objet ?<\/em><\/p>\n

Le document PDF contenait un logo Sophos qui \u00e9tait par ailleurs tr\u00e8s simplifi\u00e9. Le texte qui appara\u00eet sous le QR Code indique “This document will expire in 24 hours”<\/em>. Il indique \u00e9galement que le QR code pointe vers Docusign<\/em>, la plateforme de signature \u00e9lectronique de contrats. Ces caract\u00e9ristiques conf\u00e8rent au message un faux sentiment d\u2019urgence.<\/p>\n

\"quishing\"<\/a><\/p>\n

Le document de quishing original envoy\u00e9 \u00e0 un employ\u00e9 de Sophos.<\/em><\/p>\n

Lorsque les cibles scannaient le QR Code \u00e0 l’aide de leur t\u00e9l\u00e9phone, elles \u00e9taient dirig\u00e9es vers une page de phishing qui ressemblait \u00e0 une bo\u00eete de dialogue de connexion Microsoft365, mais \u00e9tait en fait contr\u00f4l\u00e9e par l’attaquant. L\u2019URL comportait \u00e0 la fin une cha\u00eene de requ\u00eate contenant l\u2019adresse email compl\u00e8te de la cible, mais curieusement, cette derni\u00e8re comportait une lettre majuscule diff\u00e9rente, apparemment al\u00e9atoire, ajout\u00e9e au d\u00e9but de l\u2019adresse.<\/p>\n

\"quishing\"<\/a><\/p>\n

Le QR Code li\u00e9 \u00e0 un domaine prot\u00e9g\u00e9 par Cloudflare et contenant l’adresse email de la cible, pr\u00e9c\u00e9d\u00e9e d’une lettre majuscule inhabituelle.<\/em><\/p>\n

Cette page a \u00e9t\u00e9 con\u00e7ue pour voler \u00e0 la fois les informations de connexion et les r\u00e9ponses MFA \u00e0 l’aide d’une technique connue sous le nom Adversary-in-The-Middle (AiTM)<\/a>.<\/p>\n

\"quishing\"<\/a><\/p>\n

La page de phishing capturait \u00e0 la fois le mot de passe de connexion et un jeton MFA saisi par la cible, et semblait identique \u00e0 une bo\u00eete de dialogue de connexion Microsoft365 standard.<\/em><\/p>\n

L\u2019URL utilis\u00e9e dans l\u2019attaque n\u2019\u00e9tait pas connue de Sophos au moment o\u00f9 l\u2019email est arriv\u00e9. Quoi qu\u2019il en soit, le t\u00e9l\u00e9phone mobile de la cible n\u2019\u00e9tait dot\u00e9 d\u2019aucune fonctionnalit\u00e9 permettant de filtrer la visite d\u2019un site Web malveillant, sans parler du fait qu\u2019aucun historique de r\u00e9putation n\u2019\u00e9tait associ\u00e9 \u00e0 ce dernier \u00e0 l\u2019\u00e9poque.<\/p>\n

L\u2019attaque a r\u00e9ussi \u00e0 compromettre les identifiants et le jeton MFA d\u2019un employ\u00e9 gr\u00e2ce \u00e0 cette m\u00e9thode. L’attaquant a ensuite tent\u00e9 d’utiliser ces informations pour acc\u00e9der \u00e0 une application interne en utilisant avec succ\u00e8s le jeton MFA vol\u00e9 en temps quasi r\u00e9el, constituant ainsi une nouvelle fa\u00e7on de contourner la m\u00e9thode MFA que nous appliquons.<\/p>\n

Les contr\u00f4les internes concernant d’autres aspects du fonctionnement du processus de connexion au r\u00e9seau ont emp\u00each\u00e9 l’attaquant d’acc\u00e9der aux informations ou aux actifs internes.<\/p>\n

Comme nous l\u2019avons mentionn\u00e9 pr\u00e9c\u00e9demment, ce type d\u2019attaque est de plus en plus courant chez nos clients. Chaque jour, nous recevons davantage d\u2019\u00e9chantillons de nouveaux PDF de quishing ciblant des employ\u00e9s sp\u00e9cifiques au sein d\u2019entreprises.<\/p>\n

\"quishing\"<\/a><\/p>\n

Un fichier PDF re\u00e7u dans la semaine pr\u00e9c\u00e9dant la publication de cet article, ciblant un client Sophos, semble \u00eatre un lien vers un ‘manuel de l’employ\u00e9’ et comprend le nom de l’entreprise du client, sa marque, ainsi que le nom et l’adresse email de la cible.<\/em><\/p>\n

Quishing as a service<\/h2>\n

Les cibles ont re\u00e7u des emails envoy\u00e9s par un acteur malveillant qui ressemblent beaucoup \u00e0 des messages similaires envoy\u00e9s \u00e0 l’aide d’une plateforme de phishing as a service (PhaaS) appel\u00e9e ONNX Store<\/a>, qui, selon certains chercheurs, est une version renomm\u00e9e du kit de phishing Caffeine<\/a>. L’ONNX Store fournit des outils et une infrastructure pour lancer des campagnes de phishing et est accessible via les bots Telegram.<\/p>\n

L’ONNX Store exploite les fonctionnalit\u00e9s CAPTCHA anti-bot de Cloudflare et les proxys d’adresse IP afin de rendre plus difficile pour les chercheurs l’identification des sites Web malveillants, r\u00e9duisant ainsi l’efficacit\u00e9 des outils d’analyse automatis\u00e9s et obfusquant le fournisseur d’h\u00e9bergement sous-jacent.<\/p>\n

L’ONNX Store utilise \u00e9galement du code JavaScript chiffr\u00e9 qui se d\u00e9chiffre lors du chargement de la page Web, offrant ainsi une couche suppl\u00e9mentaire d’obfuscation qui contourne les scanners anti-phishing.<\/p>\n

Le quishing : une menace qui se d\u00e9veloppe<\/h2>\n

Les acteurs malveillants qui m\u00e8nent des attaques de phishing utilisant des QR Codes peuvent vouloir contourner les types de fonctionnalit\u00e9s de protection r\u00e9seau des logiciels de s\u00e9curit\u00e9 endpoint susceptibles de s’ex\u00e9cuter sur un ordinateur. Une victime potentielle peut recevoir le message de phishing sur un ordinateur, mais est plus susceptible de visiter la page de phishing sur son t\u00e9l\u00e9phone moins bien prot\u00e9g\u00e9.<\/p>\n

\u00c9tant donn\u00e9 que les QR Codes sont g\u00e9n\u00e9ralement analys\u00e9s par un appareil mobile secondaire, les URL visit\u00e9es peuvent contourner les d\u00e9fenses traditionnelles, telles que le blocage d’URL sur un ordinateur de bureau (desktop<\/em>) ou portable (labtop<\/em>) sur lequel un logiciel de protection endpoint est install\u00e9, ou la connectivit\u00e9 via un pare-feu qui bloque les adresses Web malveillantes connues.<\/p>\n

Nous avons pass\u00e9 un temps consid\u00e9rable \u00e0 rechercher notre s\u00e9rie d’\u00e9chantillons de spam pour trouver d’autres exemples d’attaques de quishing. Nous avons constat\u00e9 que le volume d\u2019attaques ciblant ce vecteur de menace sp\u00e9cifique semble augmenter \u00e0 la fois en volume et en sophistication au niveau de l\u2019apparence du document PDF.<\/p>\n

La premi\u00e8re s\u00e9rie de pi\u00e8ces jointes de quishing en juin \u00e9tait constitu\u00e9e de documents relativement simplistes, avec juste un logo en haut, un QR Code et une petite quantit\u00e9 de texte destin\u00e9 \u00e0 cr\u00e9er une urgence pour inciter \u00e0 visiter l’URL cod\u00e9e dans le bloc du QR Code.<\/p>\n

Cependant, tout au long de l’\u00e9t\u00e9, les \u00e9chantillons sont devenus plus sophistiqu\u00e9s, l’accent \u00e9tant davantage mis sur la conception graphique et l’apparence du contenu affich\u00e9 dans le PDF. Les documents de quishing apparaissent d\u00e9sormais plus soign\u00e9s que ceux que nous avons vus initialement, avec un texte d’en-t\u00eate et de pied de page personnalis\u00e9 pour int\u00e9grer le nom de la personne cibl\u00e9e (ou du moins le nom d’utilisateur de son compte de messagerie) et\/ou l’organisation cibl\u00e9e o\u00f9 elle travaille au sein du PDF.<\/p>\n

\"quishing\"<\/a><\/p>\n

L’un des documents de quishing \u00e0 l\u2019allure plus professionnelle.<\/em><\/p>\n

Les QR Codes sont incroyablement flexibles et une partie de leurs sp\u00e9cifications implique qu’il est possible d’int\u00e9grer des graphiques<\/a> au centre du bloc du QR Code lui-m\u00eame.<\/p>\n

Certains des QR Codes pr\u00e9sents dans les documents de quishing les plus r\u00e9cents abusent de la marque Docusign<\/em> en tant qu\u2019\u00e9l\u00e9ment graphique dans le bloc du QR Code, utilisant frauduleusement la notori\u00e9t\u00e9 de cette entreprise et dupant ainsi l\u2019utilisateur via une technique d\u2019ing\u00e9nierie sociale.<\/p>\n

Pour r\u00e9sumer, Docusign<\/em> n’envoie pas de liens de QR Code aux clients qui signent un document. Selon le livre blanc intitul\u00e9 Combating Phishing (PDF)<\/a> de DocuSign<\/em>, l\u2019image de marque de l\u2019entreprise a \u00e9t\u00e9 suffisamment abus\u00e9e pour que l\u2019entreprise ait mis en place des mesures de s\u00e9curit\u00e9 dans ses emails de notification<\/a>.<\/p>\n

\"quishing\"<\/a><\/p>\n

Un PDF de validation contenant le nom d’utilisateur de l\u2019email de la cible int\u00e9gr\u00e9 dans le document, ainsi que le nom de l’entreprise o\u00f9 elle travaillait et son adresse email compl\u00e8te dans le texte du pied de page, ainsi qu’un logo DocuSign au centre du QR Code.<\/em><\/p>\n

Pour r\u00e9sumer, la pr\u00e9sence de ce logo \u00e0 l\u2019int\u00e9rieur du QR code ne donne aucune l\u00e9gitimit\u00e9 au lien vers lequel il pointe, et ne doit lui conf\u00e9rer aucune cr\u00e9dibilit\u00e9. Il s’agit simplement d’une caract\u00e9ristique de conception li\u00e9e \u00e0 la sp\u00e9cificit\u00e9 des QR Codes, \u00e0 savoir que des graphiques peuvent appara\u00eetre au centre de ces derniers.<\/p>\n

Le formatage du lien vers lequel pointe le QR code a \u00e9galement \u00e9volu\u00e9. M\u00eame si de nombreuses URL semblent pointer vers des domaines conventionnels utilis\u00e9s \u00e0 des fins malveillantes, les attaquants exploitent \u00e9galement une grande vari\u00e9t\u00e9 de techniques de redirection qui obfusquent l’URL de destination.<\/p>\n

\"quishing\"<\/a><\/p>\n

Un employ\u00e9 de Sophos a re\u00e7u ce PDF de quishing en septembre 2024. Il fait r\u00e9f\u00e9rence \u00e0 leur adresse email et indique “This is a mandatory service communication” en haut, et utilise une grammaire vraiment \u00e9trange.<\/em><\/p>\n

Par exemple, un email de quishing envoy\u00e9 \u00e0 un autre employ\u00e9 de Sophos au cours du mois dernier \u00e9tait li\u00e9 \u00e0 un lien Google intelligemment format\u00e9 qui, apr\u00e8s avoir cliqu\u00e9 dessus, redirige le visiteur vers le site de phishing. Dans ce cas, une recherche de l’URL aurait permis de classer le site li\u00e9 directement \u00e0 partir du QR Code (google.com) comme s\u00fbr. Nous avons \u00e9galement vu des liens pointer vers des services de shortlink utilis\u00e9s par divers autres sites Web l\u00e9gitimes.<\/p>\n

\"quishing\"<\/a><\/p>\n

Le QR Code pointait vers une URL Google trop longue pour \u00eatre visible dans son int\u00e9gralit\u00e9 depuis l’application appareil photo du t\u00e9l\u00e9phone, et redirigerait l’utilisateur vers le site Web de phishing en cas d\u2019ouverture.<\/em><\/p>\n

Toute solution cens\u00e9e intercepter et stopper le chargement des sites Web de quishing doit r\u00e9soudre l’\u00e9nigme consistant \u00e0 suivre une cha\u00eene de redirection vers sa destination finale, puis \u00e0 effectuer une v\u00e9rification de la r\u00e9putation de ce site, tout en r\u00e9solvant la complication suppl\u00e9mentaire des phishers<\/em> et des quishers<\/em> cachant leurs sites derri\u00e8re des services comme Cloudflare.<\/p>\n

L\u2019email de quishing le plus r\u00e9cent envoy\u00e9 \u00e0 un employ\u00e9 Sophos contenait une pi\u00e8ce jointe au format PDF avec une approche l\u00e9g\u00e8rement ironique : en effet, il semblait avoir \u00e9t\u00e9 envoy\u00e9 par une entreprise dont l\u2019activit\u00e9 principale \u00e9tait la formation et les services anti-phishing.<\/p>\n

Le PDF joint au plus r\u00e9cent email de quishing ciblant Sophos contenait des informations de pied de page qui semblent imiter les mentions l\u00e9gales d’une soci\u00e9t\u00e9 appel\u00e9e Egress<\/em>, une filiale de la soci\u00e9t\u00e9 de formation anti-phishing KnowBe4<\/em>. Cependant, le domaine point\u00e9 par le QR Code appartient \u00e0 un cabinet de conseil br\u00e9silien qui n\u2019a aucun lien avec KnowBe4<\/em>. Il semble que le site Web des consultants ait \u00e9t\u00e9 compromis et utilis\u00e9 pour h\u00e9berger une page de phishing.<\/p>\n

\"quishing\"<\/a><\/p>\n

Un document de quishing qui utilise un langage juridique impliquant qu’il provient d’une entreprise qui dispense une formation anti-phishing et indique qu’il est “Powered by Sophos(c)”.<\/em><\/p>\n

Ce message contenait \u00e9galement un corps de texte qui donnait l\u2019impression qu\u2019il s\u2019agissait d\u2019un message automatis\u00e9, m\u00eame s\u2019il contenait des fautes d\u2019orthographe et des erreurs tr\u00e8s \u00e9tranges. Comme pour les messages pr\u00e9c\u00e9dents, le corps du texte indiquait un nom de fichier pour la pi\u00e8ce jointe qui ne correspondait pas \u00e0 celui joint \u00e0 l’email.<\/p>\n

\"quishing\"<\/a><\/p>\n

Le dernier email de quishing indique que “any questions should be directed to your Wayne Center contact”, c’est-\u00e0-dire probablement \u00e0 Batman.<\/em><\/p>\n

Tactiques MITRE ATT&CK Observ\u00e9es<\/h2>\n

\u00a0<\/strong><\/p>\n

Recommandations et conseils pour les administrateurs IT<\/h2>\n

Si vous \u00eates confront\u00e9 \u00e0 une attaque de phishing similaire utilisant le QR Code dans une entreprise, nous avons quelques suggestions sur la fa\u00e7on de g\u00e9rer ce type d’attaque.<\/p>\n