Pesquisadores do Internet Storm Center documentaram uma campanha de phishing que usa QR codes rendidos inteiramente em HTML — tabelas de células pretas e brancas — para contornar motores de inspeção que analisam imagens. A técnica foi observada em mensagens entre 22 e 26 de dezembro de 2025 e reportada em 07/01/2026.
O que é o QR imageless
Em vez de inserir uma imagem com o QR code, os atacantes constroem a matriz do código usando uma tabela HTML role="presentation" composta por centenas de
Vetor e lógica de evasão
O sucesso da abordagem depende de dois fatores:
- motores de inspeção de e‑mail que se concentram em imagens incorporadas ou anexos e não analisam a renderização visual do HTML;
- uso de redirecionamentos para domínios controlados pelos atacantes, muitas vezes com caminhos que incluem o próprio domínio da vítima para aumentar a aparência de legitimidade.
Nos casos reportados, os QR codes redirecionavam para subdomínios de lidoustoo[.]click, frequentemente com o nome do domínio da vítima no caminho da URL, o que reduz a suspeita em uma avaliação superficial.
Evidências técnicas
"Internet Storm Center researchers noted that the QR itself is rendered purely through HTML, using a table made of 4×4 pixel cells with black and white background colors."
A peça original inclui um snippet demonstrando a estrutura da tabela e imagens dos QR codes gerados via HTML. Os registros mostram que a técnica foi empregada em campanhas observadas entre 22 e 26 de dezembro de 2025.
Limites da análise pública
A reportagem não fornece um inventário público do payload final ou métricas de comprometimento como números de vítimas, domínios adicionais usados ou amostras de malware resultante. Também não há indicação, na cobertura disponível, de que os redirecionamentos levaram necessariamente à instalação de um malware específico; o objetivo primário documentado é o redirecionamento para páginas controladas pelos atacantes.
Implicações para detecção e mitigação
Defensores e provedores de gateway de e‑mail devem considerar que:
- filtros estáticos que só buscam imagens anexadas ou inline perdem renderizações baseadas em DOM;
- análises DOM‑aware e heurísticas visuais (renderização em sandbox do corpo do e‑mail e análise do raster resultante) podem identificar grids densos que correspondam a QR codes;
- inspeção de links e bloqueio de redirecionamentos para domínios não confiáveis continua sendo controle essencial.
O texto citado recomenda que filtros tratem blocos de tabelas densas como possíveis QR renderings e que defesas verifiquem a cadeia de redirecionamentos antes que o usuário interaja.
Recomendações operacionais
- Treinamento de usuários: tratar QR codes recebidos por e‑mail com o mesmo nível de suspeita de um link desconhecido.
- Análise de HTML: incluir regras que detectem tabelas com alta densidade de células monocromáticas e que sinalizem vieses de renderização visual.
- Inspeção de redirecionamento: bloquear cadeias que terminem em domínios recém‑registrados ou sem reputação estabelecida.
Conclusão
A técnica de QR imageless explora uma lacuna operacional em muitas pilhas de verificação de e‑mail e demonstra que adversários adaptam renderizações HTML para obter vantagem contra mecanismos automatizados. As evidências públicas documentam a construção e o padrão de evasão, mas faltam métricas de escala e confirmação do payload final, informações que equipes de resposta devem buscar em feeds de IoCs e análises de sandbox internas.