Το FBI προειδοποιεί ότι μια κρατικά χρηματοδοτούμενη ομάδα χάκερ από τη Βόρεια Κορέα χρησιμοποιεί κακόβουλους κωδικούς QR για να κατασκοπεύει επιλεγμένους χρήστες.
Μια ομάδα γνωστή ως Kimsuky στέλνει τους κακόβουλους κωδικούς QR στα θύματα μέσω email, σύμφωνα με το FBI. Οι κωδικοί QR δεν μπορούν από μόνοι τους να μολύνουν ή να παραβιάσουν ένα τηλέφωνο. Ωστόσο, μπορούν να ανακατευθύνουν τη συσκευή του χρήστη σε έναν κακόβουλο ιστότοπο που έχει σχεδιαστεί για να ξεγελάσει τον χρήστη και να τον κάνει να κατεβάσει κακόβουλο λογισμικό ή να πληκτρολογήσει ευαίσθητες πληροφορίες σε μια φόρμα.
Το FBI σημειώνει επίσης ότι οι ίδιοι κακόβουλοι ιστότοποι μπορούν να μάθουν λεπτομέρειες σχετικά με τη συσκευή ενός χρήστη, όπως τη διεύθυνση IP, το λειτουργικό σύστημα και την τοποθεσία. Στη συνέχεια, ο ιστότοπος μπορεί να εμφανίσει μια «βελτιστοποιημένη για κινητά» σελίδα που μιμείται τις πύλες σύνδεσης για Microsoft 365, Okta ή VPNs, σε μια προσπάθεια να κλέψει διαπιστευτήρια.
Οι “οπλισμένοι” QR κωδικοί δεν είναι κάτι καινούργιο, αλλά συνήθως συνδέονται με απατεώνες και όχι με χάκερς. Το FBI υποθέτει ότι οι Βορειοκορεάτες χρησιμοποιούν τους QR κωδικούς για να παρακάμψουν τα μέτρα προστασίας κατά του phishing που περιλαμβάνουν τον έλεγχο κακόβουλων URL στο διαδίκτυο σε μηνύματα ηλεκτρονικού ταχυδρομείου.
Η Kimsuky υπάρχει εδώ και πάνω από μια δεκαετία και είναι γνωστό ότι διεξάγει κυβερνοκατασκοπεία και συλλογή πληροφοριών για λογαριασμό της βορειοκορεατικής κυβέρνησης. Ωστόσο, η ομάδα δεν έχει παραδοσιακά στοχεύσει τους καταναλωτές σε μεγάλη κλίμακα. Αντ’ αυτού, επιλέγει στόχους μέσω της τεχνικής «spearphishing» ή στόχων προσαρμοσμένων σε συγκεκριμένα άτομα. Στους στόχους περιλαμβάνονται αξιωματούχοι, think tanks ακαδημαϊκών ιδρυμάτων και διάφορα κυβερνητικά στελέχη.
Η προειδοποίηση του FBI αναφέρει ότι τον Μάιο του 2025, η Kimsuky έστειλε ένα email που περιείχε έναν κακόβουλο QR κωδικό σε έναν ηγέτη μιας δεξαμένης σκέψης «σχετικά με τις πρόσφατες εξελίξεις στην Κορεατική Χερσόνησο». Το email περιείχε τον QR κωδικό για «σάρωση για πρόσβαση σε ένα ερωτηματολόγιο».
«Αργότερα εκείνο το μήνα, μέλη της Kimsuky που υποδύονταν έναν υπάλληλο πρεσβείας έστειλαν ένα email ζητώντας πληροφορίες από έναν ανώτερο συνεργάτη μιας δεξαμενής σκέψης σχετικά με ζητήματα ανθρωπίνων δικαιωμάτων στη Βόρεια Κορέα», προσθέτει η προειδοποίηση. «Το email περιείχε έναν QR κωδικό που υποτίθεται ότι παρείχε πρόσβαση σε έναν ασφαλή δίσκο».
Το FBI προτρέπει το κοινό να είναι ενήμερο για τους κινδύνους της σάρωσης ανεπιθύμητων QR κωδικών. Συνιστά επίσης στους χρήστες να «επαληθεύουν τις πηγές των QR κωδικών μέσω δευτερευόντων μέσων (όπως η άμεση επικοινωνία με τον αποστολέα), ειδικά πριν εισαγάγουν τα στοιχεία σύνδεσης ή κατεβάσουν αρχεία».