新型PDF二维码攻击绕过检测窃取凭证

Cyble研究与情报实验室（CRIL）的研究人员发现了一个名为"Scanception"的持续QR码钓鱼活动，该活动利用基于QR码的传递机制分发凭证窃取URL。

这种高级网络钓鱼操作从包含模仿合法企业通信的PDF诱饵的定向电子邮件开始，敦促收件人扫描嵌入的QR码。通过将攻击面转移到未管理的个人移动设备上，该活动有效绕过了电子邮件网关、端点检测和响应（EDR）系统以及其他边界防御。

在过去三个月中，CRIL已识别出600多个独特的网络钓鱼PDF和相关电子邮件，其中近80%在分析时避开了VirusTotal的检测。

复杂的QR码钓鱼活动

这些诱饵非常复杂，采用社会工程学策略复制HR工作流程、财务审批和其他业务流程，以建立信任并提高用户互动率。这种精确的目标定位跨越多个行业，包括技术、医疗保健、制造业以及银行、金融服务和保险（BFSI），覆盖北美、欧洲、中东、非洲（EMEA）和亚太（APAC）地区。

该活动的演变包括设计多页PDF以逃避通常仅扫描初始页面的静态分析引擎，进一步复杂化了防病毒和沙箱工具的检测。

Scanception技术复杂性的核心在于其滥用可信服务和开放重定向器来掩盖恶意基础设施。攻击者利用YouTube、Google、Bing、Cisco和Medium等平台通过看似合法的URL中继受害者，利用对这些域的隐含信任来规避基于声誉的过滤器和Web代理。

中间人攻击策略

例如，编码的重定向附加特定于受害者的参数（如base64编码的电子邮件地址）以个性化和跟踪网络钓鱼尝试。扫描QR码后，用户被定向到模仿Microsoft Office 365等服务的中间人（AITM）网络钓鱼页面，这些页面具有检测自动化工具（如Selenium、PhantomJS或Burp Suite）的规避机制。

这些页面禁用右键功能，每100毫秒监控调试，并在检测时重定向到良性站点，从而阻止取证分析。

凭证窃取过程是多阶段的，涉及浏览器指纹识别以收集设备元数据，然后通过POST请求将凭证实时外泄到使用randexp.js等库生成的随机端点。这种设置与攻击者控制的服务器保持开放通道，能够实时中继多因素身份验证（MFA）挑战（如OTP或电子邮件验证码），促进会话劫持和账户接管。

利用后，受害者被重定向到合法网站以最小化怀疑，使活动能够持续未被检测。

活动范围和影响

Scanception的操作范围揭示了一个高容量、定制化的威胁格局，与先前关于QR码网络钓鱼和网络钓鱼即服务（PhaaS）平台的研究中记录的战术相似。该活动在50多个国家活跃，影响70多个行业，展示了自适应的TTP，包括从单页到多页诱饵的变化。

这种社会工程学、基础设施滥用和AITM技术的融合突显了向利用人类警惕性和组织控制之外的移动端点的转变。

随着该活动持续活跃和演变，安全团队被敦促加强意识培训，为个人设备实施移动设备管理（MDM），并监控来自可信域的异常重定向以减轻这些凭证盗窃风险。