Immagini SVG usate per attacchi phishing con QBot

Immagini SVG usate per attacchi phishing con QBot

Il malware QBot è stato distribuito attraverso un allegato HTML con un'immagine SVG che nasconde il codice JavaScript usato per avviare l'infezione.
Il malware QBot è stato distribuito attraverso un allegato HTML con un'immagine SVG che nasconde il codice JavaScript usato per avviare l'infezione.

I ricercatori di Cisco Talos hanno scoperto una nuova modalità usata dai cybercriminali per distribuire QBot. Sfruttando la tecnica nota come HTML smuggling, il codice JavaScript che copia il malware sul computer è stato nascosto in immagini SVG. Il trucco permette di aggirare i controlli dei servizi di posta elettronica, ma fortunatamente questo tipo di infezione viene rilevata dalla maggioranza delle soluzioni di sicurezza.

Immagini SVG per distribuire QBot

Il vettore di attacco è un’email che sembra provenire da un contatto fidato. In allegato c’è un documento HTML che, quando aperto dall’ignara vittima, avvia la catena di infezione. Il browser esegue il codice JavaScript che copia il payload sul computer. Le immagini SVG possono essere inserite nel codice HTML usando i tag XML. Le immagini possono a loro volta contenere tag script relativi a codice JavaScript.

Quando l’utente apre la pagina HTML, il codice JavaScript viene eseguito. In questo caso viene creato un archivio ZIP e mostrata la finestra di dialogo per il salvataggio sul computer. La pagina HTML mostra inoltre la password necessaria per decifrare l’archivio, all’interno del quale c’è un’immagine ISO. In quest’ultima ci sono i file LNK, CMD e DLL. Cliccando sul file LNK viene caricata in memoria la DLL, ovvero QBot.

Il consiglio principale è quello di non aprire nessun allegato sospetto. Ovviamente è meglio installare una soluzione di sicurezza che rileva e blocca questo tipo di minaccia informatica.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Cisco Talos
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 15 dic 2022
Link copiato negli appunti