Em um cenário digital onde a conveniência e a rapidez ditam o ritmo, os códigos QR se tornaram onipresentes. Presentes em campanhas de marketing, direcionando usuários para websites e aplicativos, eles simplificam o acesso à informação. No entanto, essa popularidade abriu uma nova e insidiosa porta para cibercriminosos: a utilização de códigos QR como vetores de malware.

A Descoberta da Socket e o Malware ‘Fezbox’

Uma equipe de pesquisa da empresa de segurança cibernética Socket revelou uma sofisticada técnica que utiliza códigos QR para roubar senhas armazenadas em cookies de visitantes de websites e aplicativos. O pacote malicioso, denominado ‘Fezbox’, disfarça-se como uma biblioteca de utilidades, empregando múltiplas camadas de ofuscação, incluindo o uso inovador de esteganografia em códigos QR. A esteganografia, vale lembrar, é a arte de esconder uma mensagem secreta dentro de outra aparentemente inócua.

Olivia Brown, pesquisadora da Socket, destaca a astúcia por trás dessa abordagem: “A prática de ocultar um arquivo secreto à vista de todos encontra nos códigos QR um excelente meio. A utilização de um código QR para maior ofuscação é uma jogada criativa do agente malicioso.”

Como o ‘Fezbox’ Opera

O ‘Fezbox’ explora o npm, um popular gerenciador de pacotes para JavaScript, e se esconde por meio de três camadas de ofuscação: uma string invertida, um código QR e um payload oculto. Esse mecanismo de entrega de malware coleta nomes de usuário e senhas de cookies do navegador, utilizando código dissimulado em um código QR denso e de difícil leitura.

Apesar de se apresentar como uma biblioteca de utilidades JavaScript/TypeScript com “funções auxiliares comuns”, organizadas em módulos, o ‘Fezbox’ oculta um processo que recupera e executa código escondido dentro de uma imagem de código QR remota. O código é compactado e camuflado em blocos maiores de instruções aparentemente benignas, permitindo que ele contorne verificações de segurança.

Uma condição específica no código verifica se o aplicativo está rodando em um ambiente de desenvolvimento. Se estiver, o código permanece inativo, uma tática de discrição comum. Após um atraso de 120 segundos, o pacote baixa e executa o código da imagem do QR Code. Esse código lê um cookie do “document.cookie”, recupera o nome de usuário e a senha, se existirem, e inverte a string, uma tática anti-análise que burla ferramentas que rastreiam URLs.

Implicações e Recomendações

Embora as funções principais pareçam legítimas, o padrão ofuscado representa uma ameaça de segurança crítica, permitindo a execução remota de código com características furtivas. Apesar de muitos aplicativos não armazenarem mais senhas em cookies, o sucesso potencial do malware não pode ser descartado.

O pacote foi removido do GitHub e listado como malicioso, mas serve como um alerta sobre a crescente exploração de códigos QR e arquivos de áudio e vídeo por agentes maliciosos. David Shipley, da Beauceron Security, adverte sobre a necessidade de conscientização e cautela: “Tornamos os códigos QR onipresentes durante a pandemia e não podemos mais colocar esse gênio de volta na garrafa. Os invasores estão ficando cada vez mais inteligentes com esses ataques e não há sinal de que eles vão desaparecer tão cedo.”

Um Alerta para Desenvolvedores e Usuários

Este é um alerta para desenvolvedores e usuários. A segurança exige uma cultura que incentive a cautela e a revisão constante de código. A ameaça é real e exige uma abordagem proativa para proteger dados e sistemas. A popularização dos QR Codes, impulsionada pela pandemia, trouxe inegáveis facilidades, mas também abriu novas brechas de segurança. O desafio agora é mitigar os riscos sem descartar os benefícios dessa tecnologia. É crucial que os desenvolvedores fortaleçam suas práticas de segurança, implementando verificações rigorosas e estando sempre atentos a possíveis vulnerabilidades em bibliotecas e pacotes de terceiros. A conscientização e a educação dos usuários também são fundamentais, alertando-os sobre os perigos de escanear códigos QR de fontes desconhecidas ou suspeitas.

Numa era em que a inovação tecnológica avança a passos largos, a segurança cibernética deve acompanhar esse ritmo, adaptando-se constantemente às novas ameaças e protegendo o espaço digital de ataques cada vez mais sofisticados.

Para mais informações, consulte o artigo original: QR codes become the vehicle for malware in new technique (em inglês).