600 PDF-троянов обманули 80% антивирусов мира
NewsMakerScanception обманывает 80% антивирусов и крадёт пароли в 50 странах.
На протяжении последних месяцев специалисты из Cyble Research and Intelligence Labs (CRIL) отслеживают масштабную и технически сложную фишинговую кампанию под названием Scanception. Её отличительная черта — использование QR-кодов внутри PDF-документов, которые якобы отправлены от имени организаций, с целью незаметной кражи учётных данных пользователей.
Суть атаки заключается в том, что злоумышленники рассылают электронные письма, содержащие вложенные PDF-файлы. На первый взгляд они выглядят как стандартные рабочие документы: инструкции от HR-отдела, внутренние регламенты или финансовые уведомления. В каждом из них размещён QR-код, который предлагается просканировать. После сканирования пользователь автоматически попадает на поддельный сайт, имитирующий, например, страницу входа в Microsoft 365.
Главная хитрость заключается в переносе атаки с корпоративного компьютера на мобильные устройства. Именно это позволяет обходить большинство защитных механизмов: шлюзы электронной почты, антивирусы, системы обнаружения и реагирования на инциденты ( EDR ) и другие инструменты защиты, установленные на рабочих станциях. VirusTotal на момент анализа не определял около 80% таких PDF-файлов как вредоносные, что только подчёркивает уровень скрытности и адаптации угрозы.
В арсенале злоумышленников — более 600 уникальных PDF-документов, в которых реализованы различные приёмы социальной инженерии. Они умело используют деловой стиль, логотипы компаний, HR-терминологию и даже многостраничную структуру документов, чтобы обойти системы статического анализа, которые, как правило, анализируют лишь первую страницу вложения.
Для маскировки своих целей атакующие используют доверенные сервисы и редиректы. В качестве промежуточных звеньев они применяют такие платформы, как YouTube, Google, Bing, Cisco и Medium. Это позволяет подменить вредоносные ссылки адресами, вызывающими доверие, тем самым обходя фильтры, основанные на репутации доменов.
Финальная цель атаки — AITM-страницы ( adversary-in-the-middle ), где проводится захват учётных данных. Сайт выглядит как оригинальная страница входа, но весь ввод перехватывается злоумышленниками. Применяется целый набор защит от автоматического анализа: блокировка правого клика, отслеживание отладчиков, перенаправление на безопасные страницы при обнаружении подозрительной активности. Всё это усложняет анализ и обнаружение угрозы.
Сбор данных проходит в несколько этапов. Сначала осуществляется отпечаток браузера — сбор информации об устройстве и среде. Затем данные отправляются на заранее сгенерированные адреса с помощью JavaScript-библиотек. Особо опасной частью является перехват многофакторной аутентификации в режиме реального времени. Это значит, что даже при использовании OTP или подтверждения по почте, злоумышленники успевают передать их на свой сервер и завершить вход от имени жертвы.
После кражи логинов и паролей пользователь, как правило, перенаправляется на легитимный сайт, что снижает подозрения и затрудняет расследование инцидента. Кампания охватывает более 50 стран и свыше 70 различных секторов экономики, включая технологии, здравоохранение, промышленность и финансовые услуги.
Scanception представляет собой объединение социальной инженерии, доверия к авторитетным сервисам и технических ухищрений, направленных на то, чтобы обойти защиту и обмануть пользователя. На фоне этой угрозы особенно остро встаёт вопрос безопасности мобильных устройств, которые чаще всего остаются вне контроля корпоративных IT-служб.
Специалисты рекомендуют уделять больше внимания обучению персонала, повышению осведомлённости об угрозах, а также внедрению систем управления мобильными устройствами (MDM), чтобы защитить корпоративные данные даже вне периметра компании.
На протяжении последних месяцев специалисты из Cyble Research and Intelligence Labs (CRIL) отслеживают масштабную и технически сложную фишинговую кампанию под названием Scanception. Её отличительная черта — использование QR-кодов внутри PDF-документов, которые якобы отправлены от имени организаций, с целью незаметной кражи учётных данных пользователей.
Суть атаки заключается в том, что злоумышленники рассылают электронные письма, содержащие вложенные PDF-файлы. На первый взгляд они выглядят как стандартные рабочие документы: инструкции от HR-отдела, внутренние регламенты или финансовые уведомления. В каждом из них размещён QR-код, который предлагается просканировать. После сканирования пользователь автоматически попадает на поддельный сайт, имитирующий, например, страницу входа в Microsoft 365.
Главная хитрость заключается в переносе атаки с корпоративного компьютера на мобильные устройства. Именно это позволяет обходить большинство защитных механизмов: шлюзы электронной почты, антивирусы, системы обнаружения и реагирования на инциденты ( EDR ) и другие инструменты защиты, установленные на рабочих станциях. VirusTotal на момент анализа не определял около 80% таких PDF-файлов как вредоносные, что только подчёркивает уровень скрытности и адаптации угрозы.
В арсенале злоумышленников — более 600 уникальных PDF-документов, в которых реализованы различные приёмы социальной инженерии. Они умело используют деловой стиль, логотипы компаний, HR-терминологию и даже многостраничную структуру документов, чтобы обойти системы статического анализа, которые, как правило, анализируют лишь первую страницу вложения.
Для маскировки своих целей атакующие используют доверенные сервисы и редиректы. В качестве промежуточных звеньев они применяют такие платформы, как YouTube, Google, Bing, Cisco и Medium. Это позволяет подменить вредоносные ссылки адресами, вызывающими доверие, тем самым обходя фильтры, основанные на репутации доменов.
Финальная цель атаки — AITM-страницы ( adversary-in-the-middle ), где проводится захват учётных данных. Сайт выглядит как оригинальная страница входа, но весь ввод перехватывается злоумышленниками. Применяется целый набор защит от автоматического анализа: блокировка правого клика, отслеживание отладчиков, перенаправление на безопасные страницы при обнаружении подозрительной активности. Всё это усложняет анализ и обнаружение угрозы.
Сбор данных проходит в несколько этапов. Сначала осуществляется отпечаток браузера — сбор информации об устройстве и среде. Затем данные отправляются на заранее сгенерированные адреса с помощью JavaScript-библиотек. Особо опасной частью является перехват многофакторной аутентификации в режиме реального времени. Это значит, что даже при использовании OTP или подтверждения по почте, злоумышленники успевают передать их на свой сервер и завершить вход от имени жертвы.
После кражи логинов и паролей пользователь, как правило, перенаправляется на легитимный сайт, что снижает подозрения и затрудняет расследование инцидента. Кампания охватывает более 50 стран и свыше 70 различных секторов экономики, включая технологии, здравоохранение, промышленность и финансовые услуги.
Scanception представляет собой объединение социальной инженерии, доверия к авторитетным сервисам и технических ухищрений, направленных на то, чтобы обойти защиту и обмануть пользователя. На фоне этой угрозы особенно остро встаёт вопрос безопасности мобильных устройств, которые чаще всего остаются вне контроля корпоративных IT-служб.
Специалисты рекомендуют уделять больше внимания обучению персонала, повышению осведомлённости об угрозах, а также внедрению систем управления мобильными устройствами (MDM), чтобы защитить корпоративные данные даже вне периметра компании.