Phishing par code QR

17 juin 2024

Une campagne de phishing est en cours utilisant des codes QR intégrés dans des documents PDF joints à des e-mails. Les fichiers PDF usurpent l'identité de services légitimes tels que DocuSign, et le nom de l'organisation de la victime est souvent utilisé dans l'objet ou dans le document pour ajouter de la légitimité. L'utilisation de codes QR par courrier électronique observée par Mimecast dépasse souvent les 3,5 millions par jour, ce qui souligne la prévalence potentielle de ce type d'attaque. Pour cette campagne entre le 1er avril et le 5 juin 2024, il y a eu plus de 70 000 détections.

Remarque : pour des raisons de sécurité, le QR a été remplacé par un QR menant à Google.

Objectifs:

Global, tous les secteurs

CIO :

Domaine de l’expéditeur :
Farmasocio[.] Com

Adresse électronique de l'expéditeur :
{victimdomain}@ farmasocio[.]com
support@farmasocio[.]com

Lignes d'objet :
Il existe de nombreuses variantes

• Document pour signature électronique : veuillez consulter & et signer votre demande de paiement des fonds de pension de retraite détenus par l'ATO (déclaration de revenus 2023)
• Réponse requise : Document(s) pour signature électronique : Veuillez examiner et signer votre demande de paiement des fonds de retraite détenus par le HMRC - Déclaration de revenus 2023

Noms de fichiers :
Il existe plusieurs variantes

• Disposition-Notification.pdf
• Supermatum Funds Revised HMRC Settlement Statement.pdf (en anglais)

Sha 256 de la pièce jointe :
Il existe plusieurs variantes

• C6a589ac4cd20896ab1ab308e3e80f8fea21fb51fdbd05dc1cf8c35b1bb65edc
• 1dd8d125e6d2771816a13813f2c0c96908f8b145092709cd2eaf91fea9a6c167