最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

攻击者使用SVG文件将QBot恶意软件走私到Windows系统

网络安全 快米云 来源:快米云 31浏览

Qbot 恶意软件

QBot 恶意软件网络钓鱼活动采用了一种新的分发方法,使用 SVG 文件执行 HTML 走私,在本地为 Windows 创建恶意安装程序。

这种攻击是通过包含 JavaScript 的嵌入式 SVG 文件进行的,这些文件重新组装了一个 Base64 编码的 QBot 恶意软件安装程序,该安装程序会通过目标浏览器自动下载。

QBot 是一种 Windows 恶意软件,通过加载其他有效载荷的网络钓鱼电子邮件到达,包括Cobalt Strike、Brute Ratel和勒索软件。

基于 SVG 的走私

HTML 走私 是一种用于在 HTML 附件或网站中“走私”编码的 JavaScript 有效负载的技术。

当打开 HTML 文档时,它将解码 JavaScript 并执行它,从而允许脚本在本地执行恶意行为,包括创建恶意软件可执行文件。

这种技术使威胁行为者能够绕过在外围监视恶意文件的安全工具和防火墙。

Cisco Talos的研究人员  观察到一个新的 QBot 网络钓鱼活动,该活动以被盗的回复链电子邮件开始,提示用户打开附加的 HTML 文件。

此附件包含一种 HTML 走私技术,该技术使用嵌入 HTML 中的 base64 编码的 SVG(可缩放矢量图形)图像来隐藏恶意代码。

HTML 中的 Base64 编码的 SVG 文件
HTML 中的 Base64 编码 SVG 文件 (Cisco)

与 JPG 和 PNG 文件等光栅图像类型不同,SVG 是基于 XML 的矢量图像,可以包含 HTML <script> 标记,这是该文件格式的合法特征。

当 HTML 文档通过 <embed> 或 <iframe> 标签加载 SVG 文件时,将显示图像,并执行 JavaScript。

思科的分析师解码了 SVG blob 中的 JavaScript 代码,发现了一个将包含的 JS 变量“文本”转换为二进制 blob 的函数,然后是将 blob 转换为 ZIP 存档的函数,如下所示。

反混淆的 JavaScript 代码
去混淆的 JavaScript 代码 (Cisco)

“在这种情况下,SVG 图像中走私的 JavaScript 包含整个恶意 zip 存档,然后恶意软件由 JavaScript 直接在最终用户的设备上组装,”Cisco 解释道。

“由于恶意软件有效载荷是直接在受害者的机器上构建的,而不是通过网络传输的,因此这种 HTML 走私技术可以绕过旨在过滤传输中的恶意内容的安全设备的检测。”

下载的存档文件受密码保护以逃避 AV 的审查,但受害者打开的 HTML 包含 ZIP 文件的密码。

ZIP 下载对话框和显示密码的 Adob​​e HTML
ZIP 下载对话框和显示密码的假 Adob​​e HTML (Cisco)

如果打开,则会在受害者的机器上提取一个 ISO 文件,导致典型的“ISO → LNK → CMD → DLL”感染或它的某些变体。

假设使用 SVG 文件将恶意代码隐藏在 HTML 附件中有助于进一步混淆有效负载并增加逃避检测的机会

传染链
感染链 (思科)

要保护系统免受 HTML 走私攻击,请阻止对下载内容执行 JavaScript 或 VBScript。

QBot 最近利用了一个 Windows 漏洞,使其附件能够 绕过 Mark of the Web 安全警告,但微软昨天通过 2022 年 12 月的补丁解决了这个问题。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 攻击者使用SVG文件将QBot恶意软件走私到Windows系统