W ostatnich dniach na blogu należącym do Cisco Talos Intelligence, pojawił się wpis dotyczący interesującego ataku, którego celem jest dostarczenie i zdetonowanie na maszynach potencjalnych ofiar złośliwego kodu prowadzącego do pobrania popularnego trojana Qakbot. Wektorem ataku jest tutaj wiadomość e-mail zawierająca załącznik w postaci pliku HTML. Wewnątrz pliku znajdował się zakodowany w base64 plik graficzny SVG.
Cechą tego typu plików jest fakt, że oparte są one na języku XML, który dopuszcza m.in. zagnieżdżanie w nim znacznika <script> języka HTML. Znacznik ten jak wiadomo oznacza kod napisany w języku JavaScript. W momencie uruchomienia wspomnianego załącznika, przeglądarka renderuje zagnieżdżony w nim plik SVG oraz… wykonuje kod JavaScript zawarty w tymże pliku. Analiza kodu przeprowadzona przez Cisco wskazuje na zawarte w nim archiwum ZIP, które – co ciekawe – nie jest pobierane z internetu, a generowane bezpośrednio na maszynie ofiary z jednej ze zmiennych zawartych w kodzie JS. Ma to rzecz jasna na celu oszukanie systemów bezpieczeństwa bazujących na analizie ruchu sieciowego. Wspomniany plik ZIP jest zabezpieczony dodatkowo hasłem, które wyświetlane jest przez przeglądarkę po uruchomieniu załącznika HTML. Wewnątrz niego znajduje się plik ISO i to dopiero uruchomienie tego pliku rozpoczyna sekwencję zdarzeń pobierającą na komputer ofiary kod Quakbota.
Źródło:
Attackers use SVG files to smuggle QBot malware onto Windows systems
HTML smugglers turn to SVG images
