Barracuda full logo

Threat Spotlight: i codici QR divisi e annidati alimentano una nuova generazione di attacchi "quishing"

Argomenti:
20 ago 2025
|
Rohit Suresh Kanase

Il quishing è una forma di phishing che prevede l'uso di codici QR incorporati con link dannosi. Una volta scansionati, questi codici QR reindirizzano le vittime a siti web falsi progettati per rubare le loro credenziali o altre informazioni sensibili.

I codici QR dannosi sono popolari tra gli attaccanti per diversi motivi. Non possono essere letti dagli esseri umani, quindi non fanno scattare nessun segnale di allarme e spesso possono aggirare le misure di sicurezza tradizionali come i filtri e-mail e gli scanner di link. Inoltre, poiché i destinatari devono spesso passare a un dispositivo mobile per scansionare il codice, ciò può portare gli utenti fuori dal perimetro di sicurezza aziendale e lontano dall'area di protezione.

Mentre gli strumenti di sicurezza si adattano alla minaccia del quishing, gli attaccanti hanno continuato a innovare i loro approcci. Barracuda ha riferito in passato sull'evoluzione degli attacchi di phishing con codice QR e sull'arrivo di attacchi con codice QR ASCII più sofisticati.

In questo articolo, esploriamo gli ultimi progressi nelle tecniche di attacco ai codici QR, compresi i codici QR divisi e i codici annidati (QR-in-QR).

Codici QR divisi

Il kit Gabagool phishing-as-a-service (PhaaS) ha recentemente iniziato a utilizzare una nuova tecnica per aiutare i codici QR dannosi a eludere il rilevamento. La tecnica prevede di suddividere il codice QR in due immagini separate e di incorporarle in un'e-mail di phishing. Quando le soluzioni di sicurezza email tradizionali scansionano il messaggio, vedono due immagini distinte e dall'aspetto innocuo anziché un codice QR completo.

Gli analisti delle minacce di Barracuda hanno recentemente scoperto che gli attaccanti Gabagool implementavano codici QR divisi in un attacco iniziato come una truffa standard di "reimpostazione della password" di Microsoft. L'uso da parte degli attaccanti di messaggi altamente personalizzati suggerisce che in precedenza avevano messo a segno con successo un attacco di dirottamento della conversazione contro l'obiettivo.

Esempio di come appare un codice QR suddiviso in un attacco di phishing
Il codice QR nel messaggio sembra completo, ma quando si osserva il visual in HTML, si può vedere che comprende due immagini diverse. 
Esempio di un codice QR diviso

Se il destinatario scansiona il codice, viene reindirizzato a una pagina di phishing progettata per rubare le credenziali di accesso Microsoft.

Codici QR nidificati

Gli analisti hanno osservato Tycoon 2FA PhaaS impiegare un'altra tecnica innovativa per aiutare i codici QR dannosi a eludere il rilevamento. In questo caso, il codice QR dannoso è incorporato all'interno o intorno a un codice QR legittimo.

Esempio di un codice QR nidificato utilizzato in un attacco di phishing

L'e-mail qui sopra mostra come i due codici QR sono annidati insieme. Il codice QR esterno punta a un URL dannoso, mentre il codice QR interno porta a Google. Questa tecnica può rendere più difficile per gli scanner rilevare la minaccia, poiché i risultati sono ambigui.

Difendersi dall'evoluzione dei codici QR

Oltre alle basi essenziali del training per la sensibilizzazione sulla sicurezza, dell'autenticazione a più fattori e dei robusti filtri antispam e malware, le organizzazioni dovrebbero considerare una protezione dell'e-mail multilivello che integri capacità di intelligenza artificiale multimodale per rilevare tali minacce in rapida evoluzione.

L'IA multimodale migliora il rilevamento eseguendo il rendering delle immagini degli allegati allo scopo di individuare visivamente i codici QR, decodificando il contenuto dei QR e analizzando l'URL o il payload di destinazione, eseguendo collegamenti sospetti in ambienti sandbox per rilevare comportamenti dannosi in tempo reale e utilizzando l'apprendimento automatico per analizzare la struttura del codice QR e i modelli di pixel senza dover estrarre il contenuto incorporato.

L'IA multimodale di Barracuda combina OCR, elaborazione avanzata delle immagini e modelli di linguaggio naturale per rilevare le e-mail di phishing basate su immagini, anche quelle che contengono solo un codice QR.

Gli analisti delle minacce di BARRACUDA riferiscono regolarmente sull'evoluzione delle minacce e-mail e delle tattiche di attacco. Iscriviti al nostro blog per ricevere aggiornamenti.

Iscriviti al blog di Barracuda
Rohit Suresh Kanase

Rohit Kanase è un Associate Threat Analyst nel team di analisi delle minacce di Barracuda Networks, specializzato in sicurezza e-mail. Si occupa di identificare modelli di attacco in evoluzione e monitora i campi emergenti della sicurezza informatica per mantenere una comprensione ampia tra i domini.

Post correlati:
Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
Threat Spotlight: il kit di phishing Tycoon rivela nuove tecniche per nascondere i link dannosi
 Ritorno a scuola, ritorno alle truffe
Ritorno a scuola, ritorno alle truffe
 Tredion utilizza Barracuda Managed XDR per aiutare il gruppo scolastico olandese a contenere le minacce informatiche.
Tredion utilizza Barracuda Managed XDR per aiutare il gruppo scolastico olandese a contenere le minacce informatiche.
Perché gli attaccanti ransomware continuano a tornare per averne di più
Perché gli attaccanti ransomware continuano a tornare per averne di più
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.