Em um cenário de crescente sofisticação das ameaças cibernéticas, pesquisadores da empresa de segurança Socket descobriram uma nova técnica que utiliza QR codes para disseminar malware e roubar senhas. A abordagem, que explora a popularidade dos QR codes para fins legítimos, representa um risco significativo para empresas e usuários.
Mecanismo Inovador de Backdoor
A equipe de pesquisa da Socket identificou um “mecanismo de backdoor sofisticado” que pode ser incorporado em aplicativos ou sites de empresas. Esse mecanismo malicioso se aproveita de um pacote chamado fezbox, disfarçado como uma biblioteca de utilidades JavaScript. O fezbox contém código malicioso oculto em QR codes, que são usados para roubar senhas armazenadas em cookies dos visitantes.
A técnica emprega esteganografia, que consiste em ocultar dados secretos dentro de um meio de cobertura para que não sejam detectados. No caso do fezbox, o código malicioso é embutido em um QR code, tornando-o visualmente indistinguível de um QR code legítimo. “A esteganografia é a prática de esconder um arquivo secreto à vista de todos, algo para o qual os QR codes são ótimos”, escreveu a pesquisadora da Socket, Olivia Brown. “O uso de um QR code para maior ofuscação é uma reviravolta criativa do ator da ameaça.”
Camadas de Ofuscação e Exploração de Vulnerabilidades
O pacote malicioso explora o npm, o popular gerenciador de pacotes para JavaScript, e apresenta três camadas de ofuscação: uma string invertida, um QR code e um payload oculto. O malware consegue extrair nomes de usuário e senhas dos cookies do navegador, utilizando código oculto em um QR code embutido que é particularmente denso em dados e difícil de ler.
O fezbox se apresenta como uma biblioteca de utilidades JavaScript/TypeScript de “funções auxiliares comuns”, organizada em módulos de recursos para que os usuários possam escolher. No entanto, ao importar a biblioteca, um processo de backend é iniciado para recuperar e executar o código oculto dentro de uma imagem de QR code remota.
Táticas de Evasão e Exfiltração de Dados
O código malicioso é comprimido e escondido em blocos maiores de instruções aparentemente benignas de “não-operação (no-op)”, o que permite que ele contorne as verificações de segurança. Uma condição específica dentro do código verifica se o aplicativo está sendo executado em um ambiente de desenvolvimento. Se estiver, “o código não faz nada”, explicou Brown, observando que esta é uma tática furtiva típica. Após um atraso de 120 segundos, o pacote baixa e executa o código de uma imagem de QR code.
O código lê um cookie de “document.cookie”, recupera o nome de usuário e a senha dele, se existirem, e então inverte a string (de modo que “senha” se torna “ahnseS”). A inversão é um “truque clássico de discrição anti-análise”, observou Brown, pois pode ignorar ferramentas de análise que procuram URLs, mas não necessariamente suas versões invertidas. Se o cookie contiver nome de usuário e senha, o pacote os envia por meio de um comando HTTPS POST.
Implicações e Recomendações
Embora as principais funções de utilidade parecessem legítimas, o padrão ofuscado “representa uma ameaça de segurança crítica que permite a execução remota de código com características furtivas”, escreveu Brown. No entanto, ela observou que a maioria dos aplicativos não armazena mais senhas em cookies, por isso é difícil determinar o quão bem-sucedido o malware pode ser.
O pacote já foi removido do GitHub e listado como malicioso. No entanto, é indicativo de uma exploração mais ampla de QR codes e arquivos de áudio e vídeo por atores de ameaças que estão se tornando cada vez mais furtivos com suas técnicas. Ao ocultar código executável dentro de um QR code, os invasores estão aproveitando a confiança do desenvolvedor nas ferramentas de análise de QR. Para se proteger contra essas ameaças, os especialistas recomendam que os desenvolvedores adotem uma cultura de segurança que enfatize a importância da revisão cuidadosa do código e da presença humana no processo de análise. É fundamental estar atento aos riscos associados ao uso de QR codes e outras tecnologias, e implementar medidas de segurança robustas para mitigar esses riscos.
A proliferação dos QR codes durante a pandemia os tornou onipresentes, e essa conveniência abriu novas portas para atividades maliciosas. David Shipley, da Beauceron Security, aponta que os invasores estão se tornando cada vez mais inteligentes com esses ataques e não há sinais de que eles vão desaparecer tão cedo. Ele alerta que, embora seja relativamente fácil enganar pessoas comuns por meio de phishing, quando os criminosos conseguem atingir os desenvolvedores, eles têm acesso a um vasto leque de credenciais valiosas. [Beauceron Security](https://www.beauceronsecurity.com/)
A conscientização e a educação contínua são cruciais para combater essas táticas cada vez mais sofisticadas. É imperativo que as equipes de segurança e os desenvolvedores trabalhem em conjunto para criar uma cultura de segurança que ensine os codificadores a serem cautelosos e a garantir que os seres humanos estejam no processo de revisão em todos os momentos.
