涉及Qakbot 恶意软件的网络钓鱼活动使用嵌入在 HTML 电子邮件附件中的可缩放矢量图形 ( SVG ) 图像。
Cisco Talos 发现了这种新的分发方法,该公司表示,它发现了带有 HTML 附件的欺诈性电子邮件,其中包含包含HTML 脚本标签的编码 SVG 图像。
HTML 走私是一种技术,它依赖于使用 HTML 和 JavaScript 的合法功能来运行包含在诱饵附件中的编码恶意代码,并在受害者的机器上组装有效负载,而不是发出 HTTP 请求以从远程服务器获取恶意软件。
换句话说,这个想法是通过以 JavaScript 代码的形式存储二进制文件来规避电子邮件网关,当通过网络浏览器打开时,该代码会被解码和下载。
网络安全公司发现的攻击链涉及一个 JavaScript,它在 SVG 图像中走私,并在毫无戒心的电子邮件收件人启动 HTML 附件时执行。
研究人员 Adam Katz 和 Jaeson Schultz 表示:“当受害者打开电子邮件中的 HTML 附件时,SVG 图像中走私的 JavaScript 代码就会开始行动,创建一个恶意 ZIP 存档,然后向用户显示一个对话框来保存文件”说。
ZIP 存档也受密码保护,要求用户输入 HTML 附件中显示的密码,然后提取 ISO 映像以运行 Qakbot 木马。
这一发现来自Trustwave SpiderLabs最近的研究表明 HTML 走私攻击很常见,.HTML (11.39%) 和 .HTM (2.7%) 文件是仅次于 .JPG 图像 (25.29%) 的第二大垃圾邮件附件类型) 2022 年 9 月。
“拥有强大的端点保护可以防止执行可能混淆的脚本,并防止脚本启动下载的可执行内容,”研究人员说。
“HTML 走私绕过内容扫描过滤器的能力意味着这种技术可能会被更多的威胁行为者采用,并且使用频率会越来越高。”
