Blank Image: nuova tecnica di phishing con file SVG

Blank Image: nuova tecnica di phishing con file SVG

Per aggirare le protezioni di sicurezza è stato nascosto il codice infetto all'interno di un'immagine SVG vuota inserita nell'allegato HTML.
Per aggirare le protezioni di sicurezza è stato nascosto il codice infetto all'interno di un'immagine SVG vuota inserita nell'allegato HTML.

I ricercatori di Avanan (sussidiaria di Check Point Software) hanno scoperto una nuova tecnica usata durante gli attacchi di phishing per aggirare i controlli di sicurezza. Il trucco è nascondere il codice JavaScript all’interno di un’immagine SVG vuota, da cui il nome “Blank Immage”. È quindi importante installare un buon antivirus che rileva questi allegati pericolosi.

Blank Image: URL nel codice JavaScript nascosto

La catena di infezione inizia con l’invio di un’email che sembra provenire da DocuSign. Viene chiesto all’ignara vittima di verificare il contenuto e firmare il documento. Cliccando sul link si apre il sito legittimo dell’azienda californiana. Aprendo invece l’allegato HTML viene avviato l’attacco “Blank Image”.

Analizzando il codice, i ricercatori di Avanan hanno individuato un’immagine SVG codificata con Base64. Dopo la decodifica appare un codice JavaScript. L’immagine SVG è vuota, in quanto non viene mostrato nulla sullo schermo. Serve solo per nascondere il codice JavaScript che effettua il reindirizzamento automatico verso un sito infetto.

Questo metodo permette di aggirare VirusTotal e altri controlli di sicurezza. Gli utenti devono prestare molta attenzione agli allegati HTML perché possono contenere codice pericoloso. Gli esperti di Avanan suggeriscono agli amministratori IT di bloccare gli allegati HTML oppure di trattarli come file eseguibili. L’uso di un antivirus aggiornato dovrebbe garantire una buona protezione contro questo tipo di minaccia.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Avanan
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 19 gen 2023
Link copiato negli appunti