- 19,437
- 40
- 8 Ноя 2022
Scanception обманывает 80% антивирусов и крадёт пароли в 50 странах.
На протяжении последних месяцев специалисты из Cyble Research and Intelligence Labs (CRIL) Для просмотра ссылки Войдиили Зарегистрируйся масштабную и технически сложную фишинговую кампанию под названием Scanception. Её отличительная черта — использование QR-кодов внутри PDF-документов, которые якобы отправлены от имени организаций, с целью незаметной кражи учётных данных пользователей.
Суть атаки заключается в том, что злоумышленники рассылают электронные письма, содержащие вложенные PDF-файлы. На первый взгляд они выглядят как стандартные рабочие документы: инструкции от HR-отдела, внутренние регламенты или финансовые уведомления. В каждом из них размещён QR-код, который предлагается просканировать. После сканирования пользователь автоматически попадает на поддельный сайт, имитирующий, например, страницу входа в Microsoft 365.
Главная хитрость заключается в переносе атаки с корпоративного компьютера на мобильные устройства. Именно это позволяет обходить большинство защитных механизмов: шлюзы электронной почты, антивирусы, системы обнаружения и реагирования на инциденты ( Для просмотра ссылки Войдиили Зарегистрируйся ) и другие инструменты защиты, установленные на рабочих станциях. VirusTotal на момент анализа не определял около 80% таких PDF-файлов как вредоносные, что только подчёркивает уровень скрытности и адаптации угрозы.
В арсенале злоумышленников — более 600 уникальных PDF-документов, в которых реализованы различные приёмы социальной инженерии. Они умело используют деловой стиль, логотипы компаний, HR-терминологию и даже многостраничную структуру документов, чтобы обойти системы статического анализа, которые, как правило, анализируют лишь первую страницу вложения.
Для маскировки своих целей атакующие используют доверенные сервисы и редиректы. В качестве промежуточных звеньев они применяют такие платформы, как YouTube, Google, Bing, Cisco и Medium. Это позволяет подменить вредоносные ссылки адресами, вызывающими доверие, тем самым обходя фильтры, основанные на репутации доменов.
Финальная цель атаки — AITM-страницы ( Для просмотра ссылки Войдиили Зарегистрируйся ), где проводится захват учётных данных. Сайт выглядит как оригинальная страница входа, но весь ввод перехватывается злоумышленниками. Применяется целый набор защит от автоматического анализа: блокировка правого клика, отслеживание отладчиков, перенаправление на безопасные страницы при обнаружении подозрительной активности. Всё это усложняет анализ и обнаружение угрозы.
Сбор данных проходит в несколько этапов. Сначала осуществляется отпечаток браузера — сбор информации об устройстве и среде. Затем данные отправляются на заранее сгенерированные адреса с помощью JavaScript-библиотек. Особо опасной частью является перехват многофакторной аутентификации в режиме реального времени. Это значит, что даже при использовании OTP или подтверждения по почте, злоумышленники успевают передать их на свой сервер и завершить вход от имени жертвы.
После кражи логинов и паролей пользователь, как правило, перенаправляется на легитимный сайт, что снижает подозрения и затрудняет расследование инцидента. Кампания охватывает более 50 стран и свыше 70 различных секторов экономики, включая технологии, здравоохранение, промышленность и финансовые услуги.
Scanception представляет собой объединение социальной инженерии, доверия к авторитетным сервисам и технических ухищрений, направленных на то, чтобы обойти защиту и обмануть пользователя. На фоне этой угрозы особенно остро встаёт вопрос безопасности мобильных устройств, которые чаще всего остаются вне контроля корпоративных IT-служб.
Специалисты рекомендуют уделять больше внимания обучению персонала, повышению осведомлённости об угрозах, а также внедрению систем управления мобильными устройствами (MDM), чтобы защитить корпоративные данные даже вне периметра компании.
На протяжении последних месяцев специалисты из Cyble Research and Intelligence Labs (CRIL) Для просмотра ссылки Войди
Суть атаки заключается в том, что злоумышленники рассылают электронные письма, содержащие вложенные PDF-файлы. На первый взгляд они выглядят как стандартные рабочие документы: инструкции от HR-отдела, внутренние регламенты или финансовые уведомления. В каждом из них размещён QR-код, который предлагается просканировать. После сканирования пользователь автоматически попадает на поддельный сайт, имитирующий, например, страницу входа в Microsoft 365.
Главная хитрость заключается в переносе атаки с корпоративного компьютера на мобильные устройства. Именно это позволяет обходить большинство защитных механизмов: шлюзы электронной почты, антивирусы, системы обнаружения и реагирования на инциденты ( Для просмотра ссылки Войди
В арсенале злоумышленников — более 600 уникальных PDF-документов, в которых реализованы различные приёмы социальной инженерии. Они умело используют деловой стиль, логотипы компаний, HR-терминологию и даже многостраничную структуру документов, чтобы обойти системы статического анализа, которые, как правило, анализируют лишь первую страницу вложения.
Для маскировки своих целей атакующие используют доверенные сервисы и редиректы. В качестве промежуточных звеньев они применяют такие платформы, как YouTube, Google, Bing, Cisco и Medium. Это позволяет подменить вредоносные ссылки адресами, вызывающими доверие, тем самым обходя фильтры, основанные на репутации доменов.
Финальная цель атаки — AITM-страницы ( Для просмотра ссылки Войди
Сбор данных проходит в несколько этапов. Сначала осуществляется отпечаток браузера — сбор информации об устройстве и среде. Затем данные отправляются на заранее сгенерированные адреса с помощью JavaScript-библиотек. Особо опасной частью является перехват многофакторной аутентификации в режиме реального времени. Это значит, что даже при использовании OTP или подтверждения по почте, злоумышленники успевают передать их на свой сервер и завершить вход от имени жертвы.
После кражи логинов и паролей пользователь, как правило, перенаправляется на легитимный сайт, что снижает подозрения и затрудняет расследование инцидента. Кампания охватывает более 50 стран и свыше 70 различных секторов экономики, включая технологии, здравоохранение, промышленность и финансовые услуги.
Scanception представляет собой объединение социальной инженерии, доверия к авторитетным сервисам и технических ухищрений, направленных на то, чтобы обойти защиту и обмануть пользователя. На фоне этой угрозы особенно остро встаёт вопрос безопасности мобильных устройств, которые чаще всего остаются вне контроля корпоративных IT-служб.
Специалисты рекомендуют уделять больше внимания обучению персонала, повышению осведомлённости об угрозах, а также внедрению систем управления мобильными устройствами (MDM), чтобы защитить корпоративные данные даже вне периметра компании.
- Источник новости
- www.securitylab.ru
