Una sofisticada campaña de phishing denominada “Scanception” ha surgido como una amenaza significativa para la seguridad empresarial, aprovechando los códigos QR integrados en los archivos adjuntos PDF para evitar las medidas de seguridad de correo electrónico tradicionales y la cosecha de las credenciales de los usuarios.
El ataque representa una evolución preocupante en las tácticas de ingeniería social, específicamente dirigida a la creciente dependencia de los dispositivos móviles para un acceso rápido a los recursos digitales a través del escaneo de código QR.
La campaña opera a través de una cadena de ataque de varias etapas que comienza con correos electrónicos de phishing cuidadosamente diseñados que contienen archivos adjuntos PDF diseñados para imitar las comunicaciones comerciales legítimas.
Estos documentos, a menudo disfrazados de manuales de recursos humanos o anuncios corporativos, contienen contenido formateado profesionalmente completo con logotipos de aspecto auténtico y marca organizacional para establecer confianza con posibles víctimas.
Manual de empleado Lure (fuente – cibal)
Lo que hace que este ataque sea particularmente insidioso es su colocación estratégica de códigos QR maliciosos en las páginas finales de documentos PDF de varias páginas, una técnica que evita efectivamente los escáneres de seguridad automatizados que generalmente analizan solo las páginas iniciales de los accesorios.
Analistas de cebol identificado Más de 600 PDF de phishing únicos asociados con esta campaña en solo tres meses, con casi el 80% mostrando detecciones cero en Virustotal en el momento del análisis.
Documento PDF de señuelo (fuente – Cibal)
La sofisticación técnica de la escasión se extiende más allá de la simple implementación del código QR.
Código Phishing QR (Fuente – Cibal)
Una vez que las víctimas escanean los códigos integrados, se redirigen a través de una compleja red de servicios de redireccionamiento legítimos, incluidos las plataformas de YouTube, Google, Bing y Cisco, que enmascaran la intención maliciosa detrás de los dominios de confianza.
Este abuso de infraestructura acreditada reduce significativamente la probabilidad de detección por los sistemas de seguridad basados en la reputación.
Mecanismos avanzados de evasión y recolección de credenciales
La infraestructura de phishing demuestra una notable complejidad técnica en sus capacidades de evasión.
Al llegar al portal de inicio de sesión de Office 365 falso, el sitio web malicioso emplea mecanismos de detección sofisticados para identificar herramientas de análisis automatizadas.
El sitio monitorea continuamente la presencia de herramientas de investigación de seguridad como Selenium, PhantomJS o BURP Suite utilizando funciones de JavaScript que ejecutan cada 100 milisegundos.
Cuando se detectan tales herramientas, el sistema redirige inmediatamente a los usuarios a “Acerca de: en blanco”, terminando efectivamente la cadena de ataque y evitando un análisis adicional.
El proceso de recolección de credenciales utiliza un enfoque adversario en el medio (AITM) a través de una función llamada SendAndReceive (), que orquesta la comunicación en tiempo real con la infraestructura controlada por los atacantes.
Las credenciales robadas se exfiltran mediante solicitudes posteriores a puntos finales generados dinámicamente creados utilizando la función Randroute () combinada con la biblioteca Randexp.min.js de GitHub, lo que permite rutas de URL aleatorias que reducen la efectividad de la detección basada en la firma.
La capacidad de derivación de la autenticación multifactor de la campaña representa su aspecto más preocupante, ya que la infraestructura mantiene un canal de comunicación abierto para solicitar a las víctimas de datos de autenticación adicionales que incluyen tokens 2FA, códigos de verificación por correo electrónico y contraseñas de un solo tiempo entregadas por SMS.
Este enfoque gradual permite el secuestro completo de sesiones y la adquisición de la cuenta, lo que permite a los atacantes mantener la persistencia a largo plazo dentro de los entornos comprometidos de Microsoft 365, al tiempo que evita los controles de seguridad modernos a través del retransmisión de credenciales en tiempo real a los servicios de autenticación legítimos.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
