Quer apoiar meu projeto de divulgação de noticias?
Agora é possivel
As campanhas de phishing de malware QBot adotaram um novo método de distribuição usando arquivos SVG para executar o contrabando de HTML que cria localmente um instalador malicioso para Windows.
Esse ataque é feito por meio de arquivos SVG incorporados contendo JavaScript que remontam um instalador de malware QBot codificado em Base64 que é baixado automaticamente por meio do navegador do alvo.
QBot é um malware do Windows que chega por meio de um e-mail de phishing que carrega outras cargas úteis, incluindo Cobalt Strike, Brute Ratel e ransomware.
contrabando baseado em SVG
Contrabando de HTML é uma técnica usada para "contrabandear" cargas codificadas de JavaScript dentro de um anexo HTML ou site.
Quando o documento HTML é aberto, ele decodifica o JavaScript e o executa, permitindo que o script execute localmente um comportamento malicioso, incluindo a criação de executáveis de malware.
Essa técnica permite que os agentes de ameaças ignorem ferramentas de segurança e firewalls que monitoram arquivos maliciosos no perímetro.
Os pesquisadores da Cisco Talos observaram uma nova campanha de phishing QBot que começa com um e-mail de cadeia de resposta roubado solicitando ao usuário que abra um arquivo HTML anexado.
Este anexo contém uma técnica de contrabando de HTML que usa uma imagem SVG (gráficos vetoriais escaláveis) codificada em base64 incorporada no HTML para ocultar o código malicioso.
Arquivo SVG codificado em Base64 dentro do HTML (Cisco)
Ao contrário dos tipos de imagem raster, como arquivos JPG e PNG, os SVGs são imagens vetoriais baseadas em XML que podem incluir tags HTML
Postar um comentário