Na blogu firmy Avanan pojawił się wpis informujący o zaobserwowaniu nowego rodzaju ataku – Blank Image Attack – który wykorzystuje pliki SVG. Podobny przypadek opisaliśmy na blogu miesiąc temu. Wtedy atakujący rozsyłali wiadomości e-mail z plikiem HTML w którym zawarty był plik SVG z ukrytym, złośliwym kodem JavaScript.
Tym razem atakujący wysyłają wiadomość e-mail, która wygląda jak typowy mail z DocuSign. Wewnątrz maila znajduje się odnośnik do wyświetlenia pliku oraz załącznik HTML. Kliknięcie w odnośnik przekierowuje nas do prawdziwej strony DocuSign, co może uśpić czujność odbiorcy i spowodować otworzenie załączonego w mailu pliku. Czynność ta rozpoczyna atak.
Załączony plik zawiera zakodowany przy użyciu Base64 plik SVG. Wewnątrz ukryto kod JavaScript, który automatycznie przekierowuje ofiarę do złośliwej strony. Plik nie zawiera żadnego obrazu, więc przy próbie otworzenia pliku, użytkownik nie widzi żeby coś się wydarzyło. Lecz w tle działa złośliwy kod.
Zastosowanie tylu warstw zaciemniania pozwala ukryć złośliwą zawartość przed większością systemów zabezpieczających oraz jest wpływa na niewykrywalność przez serwisy skanujące (np. VirusTotal).
Źródła:
The Blank Image Attack
New 'Blank Image’ attack hides phishing scripts in SVG files
