O FBI alerta que hackers norte-coreanos estão usando códigos QR para violar políticas de grupos dos EUA
O FBI afirma que o grupo de hackers Kimsuky APT, apoiado pelo Estado norte-coreano, está usando códigos QR maliciosos para invadir organizações americanas ligadas à política da Coreia do Norte.
O alerta veio em um comunicado do FBI de 2025, o FLASH, compartilhado com ONGs, centros de pesquisa, universidades e grupos ligados ao governo. A agência afirma que os alvos têm algo em comum: estudam, prestam consultoria ou trabalham em áreas relacionadas à Coreia do Norte.
Segundo o FBI, o grupo APT Kimsuky está realizando campanhas de spearphishing que utilizam códigos QR em vez de links, um método conhecido como Quishing.
Os códigos QR escondem URLs maliciosos, e as vítimas quase sempre os escaneiam com celulares, não com computadores do trabalho. Essa mudança permite que os atacantes burlem filtros de e-mail, analisadores de links e ferramentas de sandbox que normalmente detectam phishing.
O grupo APT Kimsuky envia e-mails com códigos QR para alvos relacionados a políticas públicas e pesquisa
O FBI afirma que o grupo Kimsuky APT usou diversos e-mails temáticos em 2025. Cada um deles correspondia ao trabalho e aos interesses do alvo. Em maio, os atacantes se fizeram passar por um consultor estrangeiro. Eles enviaram um e-mail para um líder de um think tank pedindo sua opinião sobre os recentes acontecimentos na Península Coreana. O e-mail incluía um código QR que supostamente abria um questionário.
Mais tarde, em maio, o grupo se fez passar por um funcionário da embaixada. O e-mail foi enviado a um pesquisador sênior de um think tank e solicitava informações sobre os direitos humanos na Coreia do Norte. O código QR alegava desbloquear uma unidade segura. No mesmo mês, outro e-mail fingia ser de um funcionário de um think tank. Ao escanear o código QR, a vítima era direcionada para a infraestrutura APT Kimsuky, criada para atividades maliciosas.
Em junho de 2025, o FBI afirma que o grupo teve como alvo uma empresa de consultoria estratégica. O e-mail convidava os funcionários para uma conferência inexistente. Um código QR direcionava os usuários para uma página de inscrição. Um botão de inscrição, por sua vez, levava os visitantes a uma página falsa de login do Google. Essa página coletava nomes de usuário e senhas. O FBI associou essa etapa à atividade de coleta dedent traccomo T1056.003.
A leitura de códigos QR leva ao roubo de tokens e à apropriação indevida de contas
“As operações de quishing frequentemente terminam com o roubo e a reprodução do token de sessão [T1550.004], permitindo que os invasores contornem a autenticação multifator [T1550.004] e sequestrem identidades na nuvem dent acionar os alertas típicos de “MFA falhou”, disse o FBI.
O FBI afirma que muitos desses ataques terminam com o roubo e a reprodução do token de sessão. Isso permite que os invasores contornem a autenticação multifatorial sem acionar alertas. As contas são assumidas silenciosamente. Depois disso, os invasores alteram as configurações, adicionam acessos e mantêm o controle. O FBI afirma que as caixas de correio comprometidas são então usadas para enviar mais e-mails de spearphishing dentro da mesma organização.
O FBI observa que esses ataques começam em telefones pessoais. Isso os coloca fora do alcance das ferramentas normais de detecção de endpoints e monitoramento de rede. Por causa disso, o FBI afirmou:
"O 'quishing' agora é considerado um vetor de intrusão de identidade de alta confiança e resistente àdentmultifator em ambientes corporativos."
O FBI recomenda que as organizações reduzam os riscos. A agência afirma que os funcionários devem ser alertados sobre os perigos de escanear códigos QR aleatórios em e-mails, cartas ou panfletos. O treinamento deve abordar a simulação de urgência e a falsificação de identidade. Os funcionários devem verificar as solicitações de códigos QR por meio de contato direto antes de fazer login ou baixar arquivos. Devem existir regras claras para a denúncia de irregularidades.
O FBI também recomenda o uso de: “autenticação multifator (MFA) resistente a phishing para todos os acessos remotos e sistemas sensíveis” e “revisão dos privilégios de acesso de acordo com o princípio do menor privilégio e auditoria regular para identificar permissões de conta não utilizadas ou excessivas”
Reivindique seu lugar gratuito em uma comunidade exclusiva de negociação de criptomoedas - limitada a 1.000 membros.
Artigos Recomendados
