حمله‌ی جدید مبتنی بر QR Code از طریق فایل‌های PDF برای دور زدن سیستم‌های تشخیص و سرقت اطلاعات ورود

یک کمپین فیشینگ پیشرفته با نام «Scanception» به‌عنوان تهدیدی جدی برای امنیت سازمانی ظهور کرده است. این حمله با استفاده از کدهای QR تعبیه‌شده در فایل‌های PDF، اقدام به دور زدن سیستم‌های امنیت ایمیل کرده و اطلاعات ورود کاربران را سرقت می‌کند.

این حمله نشانه‌ای نگران‌کننده از تکامل تاکتیک‌های مهندسی اجتماعی است، به‌ویژه در دورانی که اتکا به دستگاه‌های موبایل برای اسکن سریع کدهای QR روز‌به‌روز در حال افزایش است.

زنجیره حمله چندمرحله‌ای

حمله با ارسال ایمیل‌هایی آغاز می‌شود که حاوی فایل‌های PDF جعلی هستند و ظاهری کاملاً رسمی و سازمانی دارند. این فایل‌ها که معمولاً با عنوان‌هایی مانند راهنمای منابع انسانی یا اطلاعیه‌های شرکتی ظاهر می‌شوند، شامل لوگوها و قالب‌های معتبر هستند تا اعتماد قربانی را جلب کنند.

ویژگی خاص و خطرناک این کمپین، جای‌گذاری استراتژیک کدهای QR مخرب در صفحات پایانی فایل PDF است؛ تکنیکی که اسکنرهای خودکار امنیتی را دور می‌زند، چون اغلب فقط صفحات ابتدایی پیوست‌ها را تحلیل می‌کنند.

بر اساس تحقیقات شرکت امنیتی Cyble، بیش از ۶۰۰ فایل PDF فیشینگ منحصر‌به‌فرد در این کمپین شناسایی شده‌اند که حدود ۸۰٪ از آن‌ها در زمان بررسی هیچ تشخیصی در VirusTotal نداشته‌اند.

پیچیدگی فنی کمپین Scanception

🔗 پس از اسکن کد QR توسط قربانی، وی به مجموعه‌ای از آدرس‌های معتبر مانند YouTube، Google، Bing و Cisco هدایت می‌شود تا هدف مخرب زیر پوشش زیرساخت‌های قابل‌اعتماد پنهان بماند.

🔐 این سوءاستفاده از زیرساخت‌های معتبر باعث می‌شود سیستم‌های امنیتی مبتنی بر اعتبار دامنه نتوانند تهدید را شناسایی کنند.

تکنیک‌های پیشرفته دور زدن امنیت و سرقت اطلاعات

هنگامی که قربانی به درگاه جعلی ورود به Office 365 هدایت می‌شود، این سایت مخرب به‌صورت مداوم ابزارهای تحلیل امنیتی مانند Selenium، PhantomJS یا Burp Suite را بررسی می‌کند. اگر چنین ابزارهایی شناسایی شوند، قربانی به صفحه‌ی خالی “about:blank” هدایت می‌شود تا تحلیل بیشتر غیرممکن شود.

🛠️ فرایند سرقت اطلاعات ورود، از الگوریتم Adversary-in-the-Middle (AITM) استفاده می‌کند. تابعی با نام sendAndReceive() ارتباط بلادرنگ بین کاربر و سرورهای مهاجم را برقرار می‌کند.

📤 داده‌های سرقت‌شده از طریق درخواست‌های POST به آدرس‌هایی که با تابع randroute() و کتابخانه‌ی randexp.min.js تولید می‌شوند، منتقل می‌شوند؛ این مسیرهای تصادفی باعث کاهش شانس شناسایی توسط آنتی‌ویروس‌ها یا فایروال‌ها می‌گردد.

دور زدن احراز هویت چندمرحله‌ای (MFA)

نگران‌کننده‌ترین بخش این کمپین، توانایی آن در دور زدن احراز هویت دومرحله‌ای (2FA) است. زیرساخت فیشینگ به‌طور مداوم از کاربر درخواست کدهای تأیید ایمیل، توکن‌های 2FA و رمزهای یک‌بار مصرف ارسال‌شده از طریق پیامک می‌کند.

این فرایند مرحله‌ای باعث می‌شود مهاجم بتواند کنترل کامل نشست (session hijacking) را در اختیار بگیرد و با موفقیت وارد محیط Microsoft 365 قربانی شود — بدون اینکه سیستم‌های امنیتی مدرن جلوی آن را بگیرند.