Pesquisadores da Cyble Research and Intelligence Labs divulgaram uma análise detalhada da campanha de phishing denominada Scanception, que explora arquivos PDF contendo códigos QR para enganar usuários e obter credenciais sigilosas. Essa técnica avançada consegue burlar a maioria dos sistemas tradicionais de segurança corporativa, incluindo antivírus e soluções de detecção de ameaças. Segundo o estudo, cerca de 80% dos arquivos maliciosos avaliados passaram despercebidos no VirusTotal.
Os PDFs são criados para simular comunicações empresariais legítimas, como notificações do departamento de RH ou avisos financeiros, e direcionam o usuário por meio do QR code para páginas fraudulentas que imitam a tela de login do Microsoft 365. O golpe se desloca para os dispositivos móveis, onde a fiscalização das equipes de segurança é mais limitada, facilitando a captura de informações confidenciais.
Até o momento, mais de 600 PDFs únicos foram utilizados pelos criminosos, empregando técnicas de engenharia social, uso de logotipos corporativos oficiais e estrutura de documentos multipágina para dificultar a detecção. Além disso, os links maliciosos são disfarçados por meio de redirecionamentos em domínios confiáveis como YouTube, Google, Bing e Cisco, ajudando a evitar filtros baseados em reputação de domínio.
O principal objetivo da ação é interceptar credenciais por meio de páginas AITM (Adversário no Meio), que capturam em tempo real tanto logins quanto autenticações multifator. Após a extração dos dados, o usuário é automaticamente levado a sites legítimos, o que dificulta a identificação da fraude. A campanha já afetou mais de 50 países e 70 setores diferentes, incluindo tecnologia, saúde e finanças.
Especialistas em segurança cibernética recomendam intensificar o treinamento dos colaboradores, aumentar a conscientização sobre essas ameaças e adotar sistemas de gerenciamento de dispositivos móveis (MDM) para proteger as informações corporativas fora do ambiente interno.
