“Scanception” olarak adlandırılan gelişmiş bir kimlik avı kampanyası, geleneksel e -posta güvenlik önlemlerini atlamak ve kullanıcı kimlik bilgilerini hasat etmek için PDF eklerine gömülü QR kodlarından yararlanarak kurumsal güvenlik için önemli bir tehdit olarak ortaya çıkmıştır.
Saldırı, sosyal mühendislik taktiklerinde, özellikle QR kodu taraması yoluyla dijital kaynaklara hızlı erişim için mobil cihazlara artan güvenini hedefleyen bir evrimi temsil ediyor.
Kampanya, meşru iş iletişimini taklit etmek için tasarlanmış PDF ekleri içeren özenle hazırlanmış kimlik avı e-postalarıyla başlayan çok aşamalı bir saldırı zinciri aracılığıyla çalışıyor.
Genellikle İK el kitapları veya kurumsal duyurular olarak görünen bu belgeler, potansiyel kurbanlara güvenmek için otantik görünümlü logolarla ve organizasyonel markalaşma ile tamamlanmış profesyonel olarak biçimlendirilmiş içerik içerir.
.webp)
Bu saldırıyı özellikle sinsi yapan şey, kötü niyetli QR kodlarının çok sayfalı PDF belgelerinin son sayfalarına stratejik yerleştirilmesidir, bu da tipik olarak yalnızca ilk ek sayfalarını analiz eden otomatik güvenlik tarayıcılarını etkili bir şekilde atlatan bir tekniktir.
Cyble analistleri, bu kampanyayla ilişkili 600’den fazla benzersiz kimlik avı PDF’sini sadece üç ay içinde tanımladı ve yaklaşık% 80’i analiz sırasında Virustotal’da sıfır tespit gösterdi.
.webp)
Scanception’ın teknik karmaşıklığı, basit QR kodu dağıtımının ötesine uzanır.
.webp)
Mağdurlar gömülü kodları taradıktan sonra, güvenilir alanların arkasındaki kötü niyetli niyeti maskeleyen YouTube, Google, Bing ve Cisco platformları da dahil olmak üzere karmaşık bir meşru yönlendirme hizmetleri ağı aracılığıyla yönlendirilirler.
Saygın altyapının bu kötüye kullanılması, itibar tabanlı güvenlik sistemleri tarafından tespit olasılığını önemli ölçüde azaltır.
Gelişmiş Kaçma ve Kimlik Bilgisi Hasat Mekanizmaları
Kimlik avı altyapısı, kaçınma yeteneklerinde dikkate değer bir teknik karmaşıklık göstermektedir.
Sahte Office 365 oturum açma portalına ulaştıktan sonra, kötü niyetli web sitesi otomatik analiz araçlarını tanımlamak için gelişmiş algılama mekanizmaları kullanır.
Site, her 100 milisaniyede bir yürütülen JavaScript işlevlerini kullanarak Selenium, Phantomjs veya Burp Suite gibi güvenlik araştırma araçlarının varlığını sürekli olarak izler.
Bu tür araçlar algılandığında, sistem kullanıcıları derhal “hakkında: boş” olarak yönlendirir, saldırı zincirini etkili bir şekilde sonlandırır ve daha fazla analizi önler.
Kimlik bilgisi hasat süreci, ortada bir düşman (AITM) yaklaşımı kullanır. sendAndReceive()saldırgan kontrollü altyapı ile gerçek zamanlı iletişimi düzenler.
Çalınan kimlik bilgileri, dinamik olarak oluşturulan uç noktalara gönderilen posta istekleri ile açıklanır. randroute() işlevle birlikte randexp.min.js GitHub’dan kütüphane, imza tabanlı algılama etkinliğini azaltan randomize URL yollarını etkinleştirir.
Altyapı, 2FA jetonları, e-posta doğrulama kodları ve SMS tarafından verilen bir kerelik şifreler dahil olmak üzere ek kimlik doğrulama verileri için kurbanları istemek için açık bir iletişim kanalı tuttuğundan, kampanyanın çok faktörlü kimlik doğrulama bypass özelliği en ilgili yönünü temsil eder.
Bu aşamalı yaklaşım, tam oturum kaçırma ve hesap devralmasını sağlar ve saldırganların uzlaşmış Microsoft 365 ortamlarında uzun vadeli kalıcılığı sürdürmelerini sağlarken, meşru kimlik doğrulama hizmetlerine gerçek zamanlı kimlik bilgisi röle ile modern güvenlik kontrollerini başarıyla atlar.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.