Cyble’ın Araştırma ve İstihbarat Laboratuvarı (CRIL), kötü niyetli yükler sunmak için PDF dosyalarına gömülü QR kodlarından yararlanan yeni bir Quinging kampanyasını analiz etti. Scanception olarak adlandırılan kampanya, güvenlik kontrollerini atlıyor, kullanıcı kimlik bilgilerini hasat ediyor ve geleneksel sistemler tarafından tespitten kaçınıyor.
E -postalar veya ekler içindeki kötü niyetli bağlantılara dayanan geleneksel kimlik avı saldırılarının aksine, scanception, QR kodlarını meşru PDF belgelerine yerleştirerek kullanıcı merakından yararlanır. Mağdurlardan, saldırı vektörünü kişisel akıllı telefonlar gibi organizasyonel görünürlük dışında yatan uç noktalara akıllıca kaydıran bir taktik olan bu kodları mobil cihazlarını kullanarak taramaları istenir.
Bu yaklaşım, saldırganların genellikle mobil cihaz trafiğini incelemeyen güvenli e -posta ağ geçitleri (SEGS) ve uç nokta algılama araçları gibi güvenlik sistemlerini atlamasına olanak tanır. Saldırı genellikle resmi kurumsal iletişimi taklit eden bir PDF dosyası içeren bir kimlik avı e -postasıyla başlar. Bu tuzaklar, imza tabanlı algılama araçlarını önlemek için logolar, içerik tabloları ve birden fazla sayfa ile birlikte İK bildirimlerine, çalışan el kitaplarına veya yerleşik belgelere benzemek için hazırlanmıştır.
Scanception Quinging Kampanyası: Üç ayda 600’den fazla benzersiz yem
Cril’in üç aydan fazla analizi, Scanception kampanyasına bağlı 600’den fazla farklı kimlik avı PDF ve e -postasını ortaya çıkardı. Şaşırtıcı bir şekilde, bu dosyaların yaklaşık% 80’inin keşifleri sırasında Virustotal’da sıfır tespit vardı. Bu belgeler rastgele dağıtılmamıştır; Bunun yerine, endüstri sektörlerine, coğrafi konumlara ve kullanıcı rollerine dayanarak hassas hedeflidirler.
Bu Quinging kampanyası, takip dönemi boyunca küresel bir erişime sahiptir ve 50’den fazla ülkedeki organizasyonları etkilemektedir, Kuzey Amerika’da (Avrupa, Orta Doğu ve Afrika) yüksek faaliyet konsantrasyonları ve APAC bölgesi. En çok etkilenen sektörler arasında teknoloji, sağlık, imalat ve BFSI (bankacılık, finansal hizmetler ve sigorta), veri hassasiyetleri ve yüksek değerli hedefleri ile bilinen endüstriler bulunmaktadır.
AITM kimlik avı altyapısı aracılığıyla kimlik hırsızlığı
Scanception’ın nihai hedefi kimlik bilgisi hasattır. Gömülü QR kodları, genellikle Microsoft Office 365 oturum açma portallarını taklit etmek için tasarlanan ortada düşman (AITM) kimlik avı sayfalarına yol açar. Bu sayfalar kullanıcı kimlik bilgilerini gerçek zamanlı olarak toplar ve çok faktörlü kimlik doğrulama (MFA) gibi güvenlik önlemlerini atlamak için gelişmiş teknikler kullanır.
Kimlik bilgileri girildikten sonra, saldırganın altyapısı, imza tabanlı algılamadan kaçınmak için dinamik olarak URL’ler oluşturan Randroute ve Randexp.min.js gibi araçları kullanarak verileri yakalar. Kimlik avı sayfaları ayrıca tarayıcı parmak izi kullanır ve selenyum ve geğirme süiti gibi hata ayıklama araçlarını algılar. Bu tür araçlar belirlenirse, saldırı hemen boş veya meşru bir web sayfasına yönlendirerek durur.
Bu dinamik altyapı, potansiyel olarak 2FA kodları veya tek seferlik şifreler (OTPS) gibi ikincil kimlik doğrulama ayrıntılarını isteyen, tam oturum kaçırma ve ödün verilen hesaplara uzun vadeli erişim sağlayan bir açık iletişim kanalı tutar.
Güvenilir platformların kötüye kullanılması ve yeniden yönlendirme teknikleri
Scanception’ın en sinsi stratejilerinden biri, güvenilir yeniden yönlendirme hizmetlerinin ve saygın bulut barındırma platformlarının kötüye kullanılmasını içerir. Kampanya, YouTube, Google, Bing, Cisco, Medium ve hatta kimlik avı altyapısını barındırmak veya aktarmak için e -posta koruma satıcıları gibi hizmetleri kötüye kullandı. Bu taktik, sadece meşru URL’lerin arkasındaki saldırıyı maskelemekle kalmaz, aynı zamanda içerik ve itibar tabanlı güvenlik filtrelerinden kaçınmaya yardımcı olur.
Örnekler şunları içerir:
- Google arama bağlantılarına gömülü URL’leri yeniden yönlendirin
- Gizli yönlendirme bağlantıları içeren orta makaleler
- Cisco-Secure URL’leri kimlik avı sayfalarına yönlendirme
- Kurbanları sahte giriş portallarına yönlendiren e -posta güvenlik bağlantıları
Saldırganlar, kötü niyetli yükleri bu tür alanların arkasına yerleştirerek, bu platformları tipik olarak beyazlatan güvenlik önlemlerini atlar.
Taktiklerin evrimi ve sürekli aktivite
Scanception statik bir işlem değildir; Hızla uyarlanıyor ve değişiyor. Decoy PDF’lerin ilk sürümleri tek sayfalık belgelerdi. Daha yeni sürümler artık güvenilirliği artırmak için birden fazla sayfa, yapılandırılmış içerik ve gelişmiş görsel tasarımlar içeriyor. Bazı kimlik avı sayfalarında artık sağ tıklama devre dışı bırakma ve gerçek zamanlı hata ayıklama algılama dahil çok aşamalı hasat ve dinamik kaçırma teknikleri bulunmaktadır.
Scanception, kimlik avında yeni ve gelişmiş bir oyuncudur ve sosyal mühendisliği QR kodlarından, güvenilir platformlardan ve yönetilmeyen mobil cihazlardan yararlanmak için teknik kaçırma ile harmanlar. En çok tehdit motorları tarafından tespit edilmeyen sadece 90 gün içinde belirlenen 600’den fazla benzersiz yem ile saldırganların güvenliği nasıl attığını ve kullanıcıları geleneksel çevrelerin ötesinde nasıl hedeflediklerini vurgular.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.