600 PDF троянски коне заблудиха 80 процента от световните антивирусни програми
Canception надхитрява 80% от антивирусните стратегии и краде пароли в 50 страни.
През последните няколко месеца специалистите от Cyble Research and Intelligence Labs (CRIL) наблюдават огромна и механически комплицирана фишинг акция, наречена Scanception. Нейната отличителна линия е потреблението на QR кодове вътре в PDF-документите, които се допуска, че се изпращат от името на организации, с цел да се откраднат дискретно потребителските данни.
Същността на офанзивата се състои в това, че нападателите изпращат имейли, съдържащи прикачени PDF файлове. На пръв взор те наподобяват като общоприети работни документи: указания от отдел „ Човешки запаси “, вътрешни разпореждания или финансови вести. Всеки от тях съдържа QR код, който се предлага да бъде сканиран. След като бъде сканиран, потребителят автоматизирано се насочва към подправен уеб уебсайт, който имитира да вземем за пример страницата за вход в Microsoft 365.
Основният трик е да се реалокира офанзивата от корпоративния компютър към мобилните устройства. Това разрешава заобикаляне на множеството механизми за отбрана: имейл шлюзове, антивирусни стратегии, системи за разкриване и реагиране на произшествия (EDR) и други принадлежности за отбрана, конфигурирани на работните станции. VirusTotal не разпознава към 80% от тези PDF файлове като злонамерени по време на разбора, което единствено акцентира равнището на потайност и акомодация на опасността.
Нападателите разполагат с повече от 600 неповторими PDF документа в арсенала си, в които са приложени разнообразни техники за обществено инженерство. Те ловко употребяват бизнес стила, фирмените лога, терминологията в региона на човешките запаси и даже структурата на документите от няколко страници, с цел да заобиколят системите за неподвижен разбор, които нормално проучват единствено първата страница на атачмънта.
Нападателите употребяват доверени услуги и пренасочвания, с цел да прикрият задачите си. Те употребяват като медиатори платформи като YouTube, Гугъл, Bing, Cisco и Medium. Това им разрешава да заменят злонамерените връзки с надеждни адреси, като по този метод заобикалят филтрите, основани на репутацията на домейна.
Крайната цел на офанзивата са AITM ( adversary-in-the-middle ) страниците, в които се похищават идентификационните данни. Сайтът наподобява като истинската страница за вход, само че всички входни данни се прихващат от нападателите. Прилага се цялостен набор от отбрани против автоматизиран разбор: блокиране на десния бутон на мишката, следене за съществуване на дебъгер, пренасочване към безвредни страници при разкриване на подозрителна активност. Всичко това затруднява анализирането и откриването на опасността.
Събирането на данните се прави на няколко стадия. Първо се прави снемане на пръстов отпечатък на браузъра – събира се информация за устройството и средата. След това данните се изпращат на авансово генерирани адреси благодарение на JavaScript библиотеки. Особено рискова е частта, при която в действително време се завладява многофакторното засвидетелствуване. Това значи, че даже да се употребява OTP или удостоверение по пощата, нападателите имат време да ги трансферират на своя сървър и да завършат логването от името на жертвата.
След като бъдат откраднати входните данни и паролите, потребителят нормално се пренасочва към законния уебсайт, което понижава съмненията и затруднява следствието на случая. Кампанията обгръща повече от 50 страни и над 70 разнообразни бранша, в това число технологии, опазване на здравето, произвеждане и финансови услуги.
Scanception е амалгама от обществено инженерство, доверие в реномирани услуги и механически трикове, предопределени да заобиколят отбраните и да заблудят потребителя. На фона на тази опасност сигурността на мобилните устройства, които най-често са отвън контрола на корпоративните ИТ служби, е изключително настоящ проблем.
Експертите предлагат да се обърне по-голямо внимание на образованието на личния състав, да се увеличи осведомеността за заканите и да се внедрят системи за ръководство на мобилните устройства (MDM), с цел да се защитят корпоративните данни даже отвън периметъра на компанията.
