Ciudadanos chinos, blanco de campaña de phishing basada en códigos QR

Investigadores de Cyble Research and Intelligence Labs (CRIL) han descubierto una campaña de phishing basada en códigos QR que utiliza documentos Word maliciosos que se hacen pasar por documentos oficiales del Ministerio de Recursos Humanos y Seguridad Social de China. Se engaña a los usuarios para que proporcionen datos de tarjetas bancarias y contraseñas con el pretexto de procesos de verificación de identidad y autenticación.

Los ataques de phishing con códigos QR han aumentado significativamente este año, y los ciberdelincuentes aprovechan esta tecnología para robar información personal y financiera. Los actores de amenazas (TA) están incorporando códigos QR en documentos de oficina y redirigiendo a los usuarios a sitios web fraudulentos diseñados para recopilar datos confidenciales.

En el panorama de amenazas cibernéticas en constante evolución, ha surgido un nuevo vector: la campaña de phishing basada en códigos QR. Los ciberdelincuentes incorporan cada vez más códigos QR en documentos maliciosos que, cuando se escanean, dirigen a los usuarios a sitios web fraudulentos. Esta táctica experimentó un marcado aumento en 2024 siguiendo una tendencia que comenzó durante la pandemia de COVID-19, cuando los códigos QR se adoptaron ampliamente para transacciones sin contacto e intercambio de información.

El Hoxhunt Challenge destacó un aumento del 22 % en el phishing de códigos QR a finales de 2023, y una investigación de Abnormal Security indica que el 89,3 % de estos ataques tienen como objetivo robar credenciales.

La creciente familiaridad con los códigos QR ha creado una falsa sensación de seguridad, lo que facilita a los ciberdelincuentes su explotación. Los códigos QR pueden enmascarar las URL de destino, impidiendo que los usuarios verifiquen fácilmente la legitimidad del sitio al que se les redirige.

Recientemente, Cyble Research and Intelligence Labs descubrió una sofisticada campaña de phishing dirigida a personas en China. En esta campaña se utilizaron documentos de Microsoft Word con códigos QR integrados, que se distribuyen a través de archivos adjuntos de correo electrónico no deseado. Los documentos fueron diseñados para aparecer como avisos oficiales del Ministerio de Recursos Humanos y Seguridad Social de China, ofreciendo subsidios laborales superiores a 1000 RMB para atraer a las víctimas.

Los documentos están meticulosamente elaborados para que parezcan auténticos, completos con logotipos oficiales y un lenguaje que imita las comunicaciones gubernamentales. Una vez que se escanea el código QR del documento, se redirige al usuario a un sitio de phishing diseñado para recopilar información confidencial.

Esta campaña en particular se destaca por el uso de un algoritmo de generación de dominios (DGA), que genera una serie de nombres de dominio aparentemente aleatorios. DGA es un programa que genera una gran cantidad de nuevos nombres de dominio. Los ciberdelincuentes y los operadores de botnets generalmente lo utilizan para cambiar con frecuencia los dominios utilizados para lanzar ataques de malware. Esta técnica permite a los piratas informáticos evitar soluciones de detección de malware que bloquean nombres de dominio específicos y direcciones IP estáticas.

La última campaña no es un incidente aislado. Fortinet documentó una operación de phishing similar en enero de 2023, en la que los ciberdelincuentes se hicieron pasar por otra agencia del gobierno chino. Este resurgimiento de los ataques de phishing con códigos QR indica una amenaza persistente dirigida a los ciudadanos chinos, en la que los actores maliciosos perfeccionan continuamente sus tácticas para evadir la detección.

El proceso de phishing comienza cuando el usuario escanea el código QR del documento malicioso de Word. Esta acción los lleva al sitio de phishing, que inicialmente muestra un cuadro de diálogo que promete un subsidio laboral. El sitio está diseñado para parecer oficial, completo con logotipos gubernamentales y lenguaje formal para mejorar la credibilidad.

El sitio de phishing solicita al usuario que proporcione información personal, comenzando con su nombre e identificación nacional. Este paso se presenta como parte necesaria del proceso de solicitud del subsidio. Una vez que el usuario ingresa esta información, se le dirige a una segunda página que solicita información detallada de la tarjeta bancaria, incluido el número de tarjeta, el número de teléfono y el saldo. Esta información aparentemente es necesaria para la verificación de identidad y para procesar el subsidio.

Después de recopilar los datos de la tarjeta bancaria, el sitio de phishing pide al usuario que espere mientras se «verifica» su información. Este período de espera es una táctica utilizada para agregar un sentido de legitimidad al proceso. Después de esto, el sitio solicita al usuario que ingrese la contraseña de su tarjeta bancaria, con el pretexto de una verificación adicional.

Se sospecha que esta contraseña es la misma que la contraseña de pago utilizada para transacciones con tarjeta de crédito nacional. Al obtener esta contraseña junto con los datos de la tarjeta, los actores de amenazas pueden realizar transacciones no autorizadas, lo que genera importantes pérdidas financieras.

El aumento de los ataques de phishing con códigos QR subraya la creciente sofisticación y adaptabilidad de los ciberdelincuentes. Al explotar el uso generalizado de códigos QR (especialmente en un mundo pospandémico), estos ataques atraen efectivamente a los usuarios para que divulguen información financiera confidencial.

La reciente campaña dirigida a ciudadanos chinos pone de relieve la gravedad de esta amenaza, ya que actores maliciosos utilizan documentos aparentemente oficiales para recopilar datos de tarjetas y contraseñas, lo que genera importantes pérdidas financieras. Esta tendencia enfatiza la necesidad de una mayor vigilancia y medidas de seguridad sólidas para protegerse contra amenazas en evolución.

Zi zoom

OPINIÓN

Media Kit Ciberseguridadlatam

Tu anuncio en
nuestra web

Convierta a Ciberseguridad LATAM en su aliado estratégico para alcanzar a los líderes y profesionales en ciberseguridad, gobierno de datos y protección de la información de América Latina.