新型网络钓鱼手法：QR码与过期链接的结合

主要要点

一个新型的网络钓鱼策略结合了 QR 码、过期的 Bing URL 重定向链接和伪造的微软安全邮件。研究人员警告称，可能正在进行大规模的钓鱼攻击活动。一家大型美国能源公司已经成为这一攻击的目标，并且该活动可能将扩展到其他行业。

研究人员最近发现了一种新的网络钓鱼手法，结合了 QR 码和过期的 Bing URL 重定向链接，以及伪造的微软安全邮件。这使得他们警告称，一场大规模的钓鱼攻击活动正在酝酿之中。研究人员表示，一家大型美国能源公司已经成为这种攻击的试点，而后续的微软凭据盗窃活动可能会覆盖更广泛的目标。

QR快速响应码的使用并不是新鲜事。它们可以有效地诱使手机用户访问恶意网站，在这些网站上他们可能会不知情地泄露凭据和个人信息，甚至遭受资金盗窃。去年，FBI 甚至对恶意 QR 码发出了警告。

在一篇 博客文章 中，网络威胁情报研究员 Nathaniel Raymond 表示，他的团队正在跟踪过去几个月中基于 QR 码的网络钓鱼活动加剧的情况，因为这一攻击背后的威胁行为者正在不断改进他们的技术。

研究人员观察到，自5月活动开始以来，发送了超过1000封包含恶意 QR 码的电子邮件。威胁行为者的目标是窃取来自各行各业用户的微软凭据，虽然一家大型、未透露名称的美国能源公司是最突出的目标，占据了约 29 的攻击量。

一元机场clash订阅

“大多数钓鱼邮件包含 PNG 图像附件，内含微软凭据钓鱼链接或通过嵌入的 QR 码重定向钓鱼链接，而大部分链接是 Bing 重定向 URL。”Raymond 在文章中提到。

“邮件诱饵的形式包括更新与双重身份验证2FA、多重身份验证MFA以及一般账户安全相关的安全信息，”他说。

重定向 URL 通常用于市场推广目的，包含用于跟踪用户搜索引擎活动的“市场字符串”。在此次活动中，这些 URL 还包含 Base64 编码的钓鱼链接和受害者的电子邮件地址。

“将钓鱼链接编码在重定向中并同时发送受害者的电子邮件并不是新鲜事，”Raymond 写道。

“需要注意的是，除了隐藏在 QR 码中，威胁行为者还滥用受信域bingcom来进行攻击。滥用受信域、使用混淆策略，再加上将 URL 隐藏在嵌入 PNG 或 PDF 附件中的 QR 码中，有助于确保邮件绕过安全措施，顺利进入收件箱。”

Cofense 观察到，攻击者使用的其他“受信域”包括与 Salesforce 的 SaaS 解决方案相关的 krxd[]com，以及用于 Cloudflare Web3 服务的 cfipfs[]com。

“Cofense 过去并没有看到大型恶意活动利用 QR 码。这可能表明恶意行为者正在测试 QR 码作为可行的攻击载体的有效性。”Raymond 说。

自5月以来，威胁行为者发送的钓鱼邮件数量每月以指数增长，这进一步支持了研究人员的理论。

虽然该活动主要集中在能源行业，特别是某个大型能源公司，但威胁行为者同样 targeting 了制造、保险、技术和金融服务等其他行业。

在 6 月下半月，发送的邮件数量激增，主要针对大型能源公司，而一个月后这一活动再次加剧，这次对象更广泛，包括能源行业以及其他行业。

然而，威胁行为者是否看到足够的成果以继续他们的活动仍有待观察。

“尽管 QR 码有助于将恶意邮件送达用户的收件箱，但在引导用户进行钓鱼方面可能效率不足，”Raymond 表示。

移动电话通常会显示 QR 码指向的目标 URL，并要求用户在打开浏览器页面之前予以