攻击者使用SVG文件将QBot恶意软件走私到Windows系统
QBot恶意软件网络钓鱼活动采用了一种新的分发方法,使用SVG文件执行HTML走私,在本地为Windows创建恶意安装程序。
这种攻击是通过包含JavaScript的嵌入式SVG文件进行的,这些文件重新组装了一个Base64编码的QBot恶意软件安装程序,该安装程序会通过目标浏览器自动下载。
QBot是一种Windows恶意软件,通过加载其他有效载荷的网络钓鱼电子邮件到达,包括CobaltStrike、BruteRatel和勒索软件。
基于SVG的走私
HTML走私是一种用于在HTML附件或网站中“走私”编码的JavaScript有效负载的技术。
当打开HTML文档时,它将解码JavaScript并执行它,从而允许脚本在本地执行恶意行为,包括创建恶意软件可执行文件。
这种技术使威胁行为者能够绕过在外围监视恶意文件的安全工具和防火墙。
CiscoTalos的研究人员观察到一个新的QBot网络钓鱼活动,该活动以被盗的回复链电子邮件开始,提示用户打开附加的HTML文件。
此附件包含一种HTML走私技术,该技术使用嵌入HTML中的base64编码的SVG(可缩放矢量图形)图像来隐藏恶意代码。
与JPG和PNG文件等光栅图像类型不同,SVG是基于XML的矢量图像,可以包含HTML<script>标记,这是该文件格式的合法特征。
当HTML文档通过<embed>或<iframe>标签加载SVG文件时,将显示图像,并执行JavaScript。
思科的分析师解码了SVGblob中的JavaScript代码,发现了一个将包含的JS变量“文本”转换为二进制blob的函数,然后是将blob转换为ZIP存档的函数。
Cisco解释说,在这种情况下,SVG图像中走私的JavaScript包含整个恶意zip存档,然后恶意软件由JavaScript直接在最终用户的设备上组装。
由于恶意软件有效载荷是直接在受害者的机器上构建的,而不是通过网络传输的,因此这种HTML走私技术可以绕过旨在过滤传输中的恶意内容的安全设备的检测。
下载的存档文件受密码保护以逃避AV的审查,但受害者打开的HTML包含ZIP文件的密码。
如果打开,则会在受害者的机器上提取一个ISO文件,导致典型的“ISO→LNK→CMD→DLL”感染或它的某些变体。
假设使用SVG文件将恶意代码隐藏在HTML附件中有助于进一步混淆有效负载并增加逃避检测的机会。
要保护系统免受HTML走私攻击,请阻止对下载内容执行JavaScript或VBScript。
QBot最近利用了一个Windows漏洞,使其附件能够绕过MarkoftheWeb安全警告,但微软昨天通过2022年12月的补丁解决了这个问题。