Barracuda full logo

Destaque de Ameaça: Códigos QR divididos e aninhados alimentam nova geração de ataques de 'quishing'

Tópicos:
20 ago. 2025
|
Rohit Suresh Kanase

Quishing é uma forma de phishing que envolve o uso de códigos QR embutidos com links maliciosos. Quando escaneados, estes códigos QR redirecionam as vítimas para sites falsos projetados para roubar suas credenciais ou outras informações sensíveis.

Os códigos QR maliciosos são populares entre os atacantes por várias razões. Não podem ser lidos por humanos, por isso não levantam suspeitas, e muitas vezes conseguem contornar medidas de segurança tradicionais, como filtros de e-mail e scanners de links. Além disso, como os destinatários muitas vezes têm de mudar para um dispositivo móvel para digitalizar o código, isso pode levá-los para fora do perímetro de segurança da empresa e longe da proteção.

À medida que as ferramentas de segurança se adaptam à ameaça de quishing, os atacantes continuam a inovar nas suas abordagens. A Barracuda já reportou anteriormente sobre a evolução dos ataques de phishing com QR code e o surgimento de ataques mais sofisticados com ASCII QR code.

Neste artigo, exploramos os avanços mais recentes nas técnicas de ataque a códigos QR, incluindo códigos QR divididos e códigos aninhados (QR-in-QR).

Códigos QR divididos

O kit Gabagool phishing-como-serviço (PhaaS) começou recentemente a usar uma nova técnica para ajudar códigos QR maliciosos a evadir a deteção. A técnica envolve dividir o código QR em duas imagens separadas e incorporá-las num e-mail de phishing. Quando as soluções tradicionais de segurança de e-mail analisam a mensagem, veem duas imagens distintas e com aparência inofensiva, em vez de um código QR completo.

Recentemente, os analistas de ameaças da Barracuda descobriram que os atacantes Gabagool estavam a implementar códigos QR divididos num ataque que começou como um esquema padrão de ‘redefinição de senha’ falso da Microsoft. O uso de mensagens altamente personalizadas pelos atacantes sugere que anteriormente tinham implementado um ataque bem-sucedido de sequestro de conversação contra o alvo.

Exemplo de como um código QR dividido se parece num ataque de phishing
O código QR na mensagem parece completo, mas quando olhas para a imagem em HTML podes ver que é composto por duas imagens diferentes.
Exemplo de um código QR dividido

Se o destinatário digitalizar o código, será direcionado para uma página de phishing criada para roubar as suas credenciais de acesso à Microsoft.

Códigos QR aninhados

Os analistas observaram o Tycoon 2FA PhaaS a implementar outra técnica inovadora para ajudar códigos QR maliciosos a evitarem a deteção. Neste caso, o código QR malicioso está embutido dentro ou à volta de um código QR legítimo.

Exemplo de um código QR aninhado usado em um ataque de phishing

O email acima mostra como os dois códigos QR estão aninhados. O código QR externo aponta para um URL malicioso, enquanto o código QR interno leva ao Google. Esta técnica pode dificultar a deteção da ameaça por parte dos scanners, pois os resultados são ambíguos.

Defender contra códigos QR em evolução

Juntamente com os conceitos básicos essenciais de formação em conscientização sobre segurança, autenticação multifatorial e filtros robustos de spam e malware, as organizações devem considerar proteção de email em várias camadas que integre capacidades de IA multimodelo para detetar ameaças em rápida evolução.

A IA multimodal melhora a deteção ao renderizar imagens de anexos para localizar códigos QR visualmente, decodificar o conteúdo do QR e analisar o URL de destino ou carga útil, executando links suspeitos em ambientes sandbox para detetar comportamentos maliciosos em tempo real, e utilizando aprendizagem automática para analisar a estrutura do código QR e padrões de pixéis sem necessidade de extrair o conteúdo incorporado.

A inteligência artificial multimodal da Barracuda combina OCR, processamento profundo de imagens e modelos de linguagem natural para detectar e-mails de phishing baseados em imagens — mesmo aqueles que contêm apenas um código QR.

Os analistas de ameaças da Barracuda relatam regularmente sobre a evolução das ameaças de email e táticas de ataque. Subscreva o nosso blog para atualizações.

Subscreva o Blogue Barracuda
Rohit Suresh Kanase

Rohit Kanase é um Analista de Ameaças Associado na equipa de Análise de Ameaças da Barracuda Networks, com foco na segurança de e-mail. Ele é apaixonado por identificar padrões de ataque em evolução e monitora campos emergentes na cibersegurança para manter uma compreensão abrangente em todos os domínios.

Artigos Relacionados:
Threat Spotlight: kit de phishing Tycoon revela novas técnicas para ocultar links maliciosos
Threat Spotlight: kit de phishing Tycoon revela novas técnicas para ocultar links maliciosos
 De volta às aulas, de volta aos esquemas fraudulentos
De volta às aulas, de volta aos esquemas fraudulentos
 A Tredion utiliza o Barracuda Managed XDR para ajudar o grupo de escolas holandesas a conter ameaças cibernéticas.
A Tredion utiliza o Barracuda Managed XDR para ajudar o grupo de escolas holandesas a conter ameaças cibernéticas.
Porque é que os atacantes de ransomware continuam a voltar para mais
Porque é que os atacantes de ransomware continuam a voltar para mais
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.