Plataforma QRR automatiza phishing no Microsoft 365

Uma nova plataforma de automação para phishing, chamada Quantum Route Redirect (QRR), vem sendo usada para roubar credenciais de usuários Microsoft 365 em escala global, operando por meio de cerca de 1.000 domínios maliciosos.

Automação e ampla disseminação de ataques

Identificada por analistas da KnowBe4, a QRR é uma plataforma de automação avançada para phishing, pronta para operar em múltiplas etapas: do redirecionamento do tráfego até o rastreamento das vítimas. Aproximadamente 76% dos ataques foram registrados nos EUA, mas a campanha já alcança usuários em 90 países.

O ataque geralmente começa com um e-mail falso, que simula notificações do DocuSign, de pagamento, de chamada perdida ou apresenta QR codes. O objetivo é direcionar o alvo a uma página de coleta de credenciais, hospedada em domínios comprometidos ou estacionados, usando padrões de URL que dificultam a detecção automática.

Detecção de humanos e evasão de sistemas antiphishing

O QRR distingue visitantes humanos de bots, redirecionando usuários reais para as páginas de phishing e desviando sistemas automatizados (como filtros de e-mail) para sites benignos. Os operadores do kit acompanham em tempo real as estatísticas de visitantes legítimos na plataforma.

Evasão e expansão do modelo PhaaS

O uso de domínios legítimos, aliados à filtragem inteligente e ao redirecionamento automático, torna o QRR altamente eficaz contra sistemas tradicionais de filtragem de URLs. Outros serviços semelhantes, como VoidProxy, Darcula, Morphing Meerkat e Tycoon2FA, também ganharam destaque neste segmento, evidenciando o avanço das estratégias de Phishing-as-a-Service.

Recomendações de defesa

Para mitigar o risco, especialistas recomendam:

• Implementar filtros de URLs robustos capazes de identificar tentativas de phishing.
• Utilizar ferramentas de monitoramento para detectar sinais de comprometimento e agir rapidamente, caso credenciais sejam roubadas.

A evolução constante das ferramentas de PhaaS reforça a importância do treinamento de usuários, da adoção de autenticação multifator e da resposta proativa contra ameaças às contas corporativas.