Cyble Research and Intelligence Labs (CRIL) araştırmacıları, kimlik bilgisi hasat URL’lerini dağıtmak için QR kod tabanlı teslimat mekanizmalarını kullanan “Scanception” adlı devam eden bir Quinging kampanyasını ortaya çıkardılar.
Bu gelişmiş kimlik avı operasyonu, alıcıları gömülü QR kodlarını taramaya çağırarak meşru kurumsal iletişimleri taklit eden PDF lures içeren hedefli e -postalarla başlar.
Saldırı yüzeyini yönetilmeyen kişisel mobil cihazlara kaydırarak, kampanya e -posta ağ geçitlerini, uç nokta algılama ve yanıt (EDR) sistemlerini ve diğer çevre savunmalarını etkin bir şekilde atlar.
Son üç ay içinde Cril, analiz sırasında Virustotal’da yaklaşık% 80 kaçan tespit ile 600’den fazla benzersiz kimlik avı PDF ve ilişkili e -postayı tanımladı.
Sofistike Quinging Kampanyası
Lures son derece sofistike, İK iş akışlarını, finansal onayları ve diğer iş süreçlerini çoğaltan sosyal mühendislik taktiklerini kullanıyor ve güven oluşturmak ve kullanıcı etkileşim oranlarını artırmak için.
Bu hassas hedefleme, Kuzey Amerika, Avrupa, Orta Doğu, Afrika (EMEA) ve Asya-Pasifik (APAC) bölgelerinde küresel bir erişime sahip teknoloji, sağlık, imalat ve bankacılık, finansal hizmetler ve sigorta (BFSI) dahil olmak üzere birden fazla sektöre yayılmaktadır.
Kampanyanın evrimi, tipik olarak yalnızca ilk sayfaları tarayan statik analiz motorlarından kaçmak için tasarlanmış çok sayfalı PDF’leri içerir ve antivirüs ve kum havuzu araçları tarafından tespiti daha da karmaşıklaştırır.
Scanception’ın teknik sofistike olmasının merkezinde, güvenilir hizmetleri kötüye kullanması ve kötü niyetli altyapıyı maskelemek için açık yönlendiricilerdir.
Saldırganlar, görünüşte meşru URL’ler aracılığıyla kurbanları aktarmak için YouTube, Google, Bing, Cisco ve Medium gibi platformlardan yararlanır ve itibar tabanlı filtreleri ve web vekillerini atlatmak için bu alanlara örtük güvenden yararlanır.
Middle-in-the-the-to-the-
Örneğin, kodlanmış yönlendirmeler, kimlik avı girişimlerini kişiselleştirmek ve izlemek için Base64 kodlu e-posta adresleri gibi mağdura özgü parametreleri ekler.
QR kodunu taradıktan sonra, kullanıcılar Microsoft Office 365 gibi hizmetleri taklit eden, Selenium, Phantomjs veya BUP süiti gibi otomasyon araçlarını tespit etmek için kaçırma mekanizmalarıyla tamamlanan Middle-In-the Middle (AITM) kimlik avı sayfalarına yönlendirilir.
Bu sayfalar sağ tıklama işlevselliğini devre dışı bırakır, her 100 milisaniyede bir hata ayıklamayı izler ve algılama üzerine adli analizi engelleyerek iyi huylu sitelere yönlendirir.
Kimlik bilgisi hasat işlemi, cihaz meta verilerini toplamak için tarayıcı parmak izini içeren çok aşamalıdır, ardından randexp.js gibi kütüphaneler kullanılarak oluşturulan randomize uç noktalara gönderme sonrası istekleri yoluyla gerçek zamanlı kimlik bilgilerinin gerçek zamanlı olarak eklenmesi gelir.
Bu kurulum, saldırgan kontrollü sunuculara sahip açık bir kanalı korur ve OTP’ler veya e-posta doğrulama kodları gibi çok faktörlü kimlik doğrulama (MFA) zorluklarının gerçek zamanlı olarak rölesini sağlar, oturum kaçırma ve hesap devralmayı kolaylaştırır.
Sıkıştırma sonrası, mağdurlar şüpheyi en aza indirmek için meşru web sitelerine yönlendirilir ve kampanyanın tespit edilmemesine izin verir.
Scanception operasyonel kapsamı, QR kodu kimlik avı ve hizmet olarak kimlik avı (PHAAS) platformları hakkında önceki araştırmalarda belgelenen taktiklere benzerliklerle yüksek hacimli, özel bir tehdit manzarasını ortaya koymaktadır.
50’den fazla ülkede aktif ve 70’den fazla sektörü etkileyen kampanya, tek sayfadan çok sayfalık tuzaklara lure varyasyonları da dahil olmak üzere uyarlanabilir TTP’leri gösteriyor.
Sosyal mühendislik, altyapı kötüye kullanımı ve AITM tekniklerinin bu yakınsaması, insan uyanıklığını ve mobil uç noktaları örgütsel kontrolün ötesinde sömürmeye yönelik bir kaymayı vurgulamaktadır.
Kampanya aktif ve gelişmeye devam ettikçe, güvenlik ekipleri farkındalık eğitimini geliştirmeye, kişisel cihazlar için mobil cihaz yönetimi (MDM) uygulamaya ve bu kimlik-hırsızlığı risklerini azaltmak için güvenilir alanlardan anormal yönlendirmeleri izlemeye çağırılır.
Get Free Ultimate SOC Requirements Checklist Before you build, buy, or switch your SOC for 2025 - Download Now