Хакеры маскируют зловред под документы DocuSign для фишинга

Эксперты обнаружили необычную технику фишинга, когда пустые файлы SVG скрывались внутри вложений HTML, выдавая себя за документы DocuSign.

Хакеры маскируют зловред под документы DocuSign для фишинга. Фото: из архива компании

Исследователи безопасности компании Avanan назвали его «Пустое изображение». Они объясняют, что атака позволяет злоумышленникам уклоняться от обнаружения URL-адресов перенаправления.

Фишинговое электронное письмо, отправленное потенциальным жертвам, якобы является документом DocuSign, широко используемого бренда, представляющего решения для электронного документооборота и электронной подписи и многие получатели знакомы с ним по работе в офисе.

Жертве предлагается просмотреть и подписать отправленный документ под названием «Scanned Remittance Advice.htm»

Если жертва нажимает кнопку «Просмотреть готовый документ», она попадает на настоящую веб-страницу DocuSign. Однако, если они попытаются открыть вложение HTML, активируется атака «Пустое изображение».

Файл HTML содержит изображение SVG, закодированное с использованием формата кодировки Base64 со встроенным кодом ЯваСкрипт, который автоматически перенаправляет жертву на вредоносный URL-адрес.

Изображение SVG не содержит графику или фигуры, поэтому оно ничего не отображает на экране. Его роль — просто носитель для вредоносного скрипта.

Стоит отметить, что использование SVG-файлов внутри HTML, содержащего запутанный код base64, не ново. Та же техника наблюдалась в спаме, доставляющем вредоносное ПО Qbot в декабре 2022 года.

В отличие от растровых изображений, таких как JPG и PNG, SVG представляют собой векторные изображения на основе XML и могут содержать теги скрипта HTML. Когда документ HTML отображает изображение SVG с помощью тега <embed> или <iframe>, изображение отображается и внутри него выполняется JavaScript.

В кампании на тему DocuSign SVG пуст. Жертва ничего не видит на своем экране, но код перенаправления URL-адреса работает в фоновом режиме.

Из сообщения компании:

«Это инновационный способ скрыть истинную цель сообщения. Он обходит VirusTotal и даже не сканируется традиционной «Click-Time Protection». Накладывая обфускацию за обфускацией, большинство служб безопасности беспомощны против этих атак»

Пользователи должны с осторожностью относиться к электронным письмам с HTML-кодом и вложениями HTM. Исследователи предлагают администраторам рассмотреть возможность их блокировки.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме