Qakbot kötü amaçlı yazılımını içeren kimlik avı kampanyaları, Ölçeklenebilir Vektör Grafikleri (SVG) HTML e-posta eklerine gömülü resimler.
Yeni dağıtım yöntemi, Cisco Talos tarafından fark edildi. söz konusu içeren kodlanmış SVG resimleriyle HTML ekleri içeren sahte e-posta mesajlarını tespit etti. HTML betik etiketleri.
HTML kaçakçılığı, kötü amaçlı yazılımı uzak bir sunucudan almak için bir HTTP isteğinde bulunmanın aksine, yem ekinde bulunan kodlanmış kötü amaçlı kodu çalıştırmak ve yükü bir kurbanın makinesinde birleştirmek için HTML ve JavaScript’in meşru özelliklerini kullanmaya dayanan bir tekniktir.
Başka bir deyişle, fikir, bir web tarayıcısı aracılığıyla açıldığında kodu çözülen ve indirilen bir JavaScript kodu biçiminde bir ikili dosya depolayarak e-posta ağ geçitlerinden kaçınmaktır.
Siber güvenlik şirketi tarafından tespit edilen saldırı zinciri, SVG görüntüsünün içine kaçırılan ve şüphelenmeyen e-posta alıcısı HTML ekini başlattığında yürütülen bir JavaScript ile ilgili.
Araştırmacılar Adam Katz ve Jaeson Schultz, “Kurban e-postadaki HTML ekini açtığında, SVG görüntüsünün içindeki kaçak JavaScript kodu harekete geçerek kötü amaçlı bir ZIP arşivi oluşturuyor ve ardından kullanıcıya dosyayı kaydetmesi için bir iletişim kutusu sunuyor.” söz konusu.
ZIP arşivi ayrıca parola korumalıdır ve kullanıcıların HTML ekinde görüntülenen bir parolayı girmelerini gerektirir, ardından Qakbot truva atını çalıştırmak için bir ISO görüntüsü çıkarılır.
Bulgu olarak gelir Yakın zamanda yapılan araştırma Trustwave SpiderLabs, Eylül 2022’de .JPG resimlerinden (%25,29) sonra en çok spam gönderilen ikinci dosya eki türü olan .HTML (%11,39) ve .HTM (%2,7) dosyalarıyla HTML kaçakçılığı saldırılarının yaygın bir olay olduğunu gösteriyor.
Araştırmacılar, “Güçlü uç nokta korumasına sahip olmak, potansiyel olarak karartılmış komut dosyalarının yürütülmesini engelleyebilir ve komut dosyalarının indirilen yürütülebilir içeriği başlatmasını engelleyebilir” dedi.
“HTML kaçakçılığının içerik tarama filtrelerini atlama yeteneği, bu tekniğin muhtemelen daha fazla tehdit aktörü tarafından benimseneceği ve artan sıklıkta kullanılacağı anlamına geliyor.”
