FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

攻击手法分析

一种名为"Scanception"的复杂钓鱼攻击正对企业安全构成重大威胁。该攻击通过在PDF附件中嵌入QR码（二维码）来绕过传统电子邮件安全措施，窃取用户凭证。这种攻击手段反映了社会工程学策略的升级，专门针对人们日益依赖移动设备通过扫描二维码快速访问数字资源的行为。

攻击采用多阶段攻击链：首先发送精心设计的钓鱼邮件，其中包含伪装成合法商务通信的PDF附件。这些文档通常冒充人力资源手册或公司公告，采用专业排版并配有逼真的标识和组织品牌，以建立潜在受害者的信任。

员工手册钓鱼邮件诱饵（来源：Cyble）

规避检测的技术特点

该攻击最阴险之处在于将恶意二维码放置在多页PDF文档的最后一页。这种策略有效规避了通常只分析附件前几页的自动化安全扫描器。Cyble分析师在短短三个月内就识别出600多个与该活动相关的独特钓鱼PDF，其中近80%在分析时VirusTotal上显示零检测率。

诱饵PDF文档（来源：Cyble）

Scanception的技术复杂性远超简单的二维码部署。当受害者扫描嵌入的二维码后，会被重定向通过包括YouTube、Google、Bing和Cisco平台在内的合法重定向服务网络，利用可信域名掩盖恶意意图。这种对知名基础设施的滥用显著降低了基于信誉的安全系统的检测可能性。

钓鱼二维码（来源：Cyble）

高级规避与凭证窃取机制

该钓鱼基础设施在规避检测方面展现出卓越的技术复杂性。当用户到达伪造的Office 365登录门户时，恶意网站会采用复杂的检测机制识别自动化分析工具。网站通过每100毫秒执行一次的JavaScript函数持续监控Selenium、PhantomJS或Burp Suite等安全研究工具的存在。一旦检测到这些工具，系统会立即将用户重定向至"about:blank"，有效终止攻击链并阻止进一步分析。

凭证窃取过程采用中间人攻击（Adversary-in-the-Middle，AITM）方法，通过名为sendAndReceive()的函数实现，该函数协调与攻击者控制基础设施的实时通信。窃取的凭证通过POST请求外泄至动态生成的端点，这些端点使用randroute()函数结合GitHub上的randexp.min.js库创建，随机化的URL路径降低了基于签名的检测有效性。

该攻击活动最令人担忧的是其多因素认证绕过能力。基础设施保持开放的通信通道，提示受害者提供额外的认证数据，包括2FA令牌、电子邮件验证码和短信发送的一次性密码。这种分步方法实现了完整的会话劫持和账户接管，使攻击者能够在被入侵的Microsoft 365环境中长期驻留，同时通过将凭证实时中继至合法认证服务来成功绕过现代安全控制。

参考来源：

New QR Code Attack Via PDFs Evades Detection Systems and Harvest Credentials

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）