Хакеры маскируют зловред под документы DocuSign для фишинга
Хакеры маскируют зловред под документы DocuSign для фишинга. Фото: из архива компании
Исследователи безопасности компании Avanan назвали его «Пустое изображение». Они объясняют, что атака позволяет злоумышленникам уклоняться от обнаружения URL-адресов перенаправления.
Фишинговое электронное письмо, отправленное потенциальным жертвам, якобы является документом DocuSign, широко используемого бренда, представляющего решения для электронного документооборота и электронной подписи и многие получатели знакомы с ним по работе в офисе.
Жертве предлагается просмотреть и подписать отправленный документ под названием «Scanned Remittance Advice.htm»
Если жертва нажимает кнопку «Просмотреть готовый документ», она попадает на настоящую веб-страницу DocuSign. Однако, если они попытаются открыть вложение HTML, активируется атака «Пустое изображение».
Файл HTML содержит изображение SVG, закодированное с использованием формата кодировки Base64 со встроенным кодом ЯваСкрипт, который автоматически перенаправляет жертву на вредоносный URL-адрес.
Изображение SVG не содержит графику или фигуры, поэтому оно ничего не отображает на экране. Его роль — просто носитель для вредоносного скрипта.
Стоит отметить, что использование SVG-файлов внутри HTML, содержащего запутанный код base64, не ново. Та же техника наблюдалась в спаме, доставляющем вредоносное ПО Qbot в декабре 2022 года.
В отличие от растровых изображений, таких как JPG и PNG, SVG представляют собой векторные изображения на основе XML и могут содержать теги скрипта HTML. Когда документ HTML отображает изображение SVG с помощью тега <embed> или <iframe>, изображение отображается и внутри него выполняется JavaScript.
В кампании на тему DocuSign SVG пуст. Жертва ничего не видит на своем экране, но код перенаправления URL-адреса работает в фоновом режиме.
Из сообщения компании:
«Это инновационный способ скрыть истинную цель сообщения. Он обходит VirusTotal и даже не сканируется традиционной «Click-Time Protection». Накладывая обфускацию за обфускацией, большинство служб безопасности беспомощны против этих атак»
Пользователи должны с осторожностью относиться к электронным письмам с HTML-кодом и вложениями HTM. Исследователи предлагают администраторам рассмотреть возможность их блокировки.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было