Los investigadores de Talos descubrieron una campaña de phishing que distribuye el malware QBot utilizando una nueva técnica que aprovecha las imágenes de gráficos vectoriales escalables (SVG) incrustadas en archivos adjuntos de correo electrónico HTML.
El contrabando de HTML es una técnica altamente evasiva para la entrega de malware que aprovecha las características legítimas de HTML5 y JavaScript. Las cargas maliciosas se entregan a través de cadenas codificadas en un archivo adjunto HTML o página web. El código HTML malicioso se genera dentro del navegador en el dispositivo de destino que ya está dentro del perímetro de seguridad de la red de la víctima.
Una vez que una víctima recibe el correo electrónico y abre el archivo adjunto, su navegador decodifica y ejecuta el script incrustado, que luego ensambla una carga útil maliciosa directamente en el dispositivo de la víctima.
En el ataque detallado por Talos, los actores de amenazas los archivos SVG incrustados contenían JavaScript que reensambla un instalador de malware QBot codificado en Base64 que se descarga automáticamente a través del navegador de la víctima.
“Las imágenes SVG se construyen usando XML, lo que les permite colocarse dentro de HTML utilizando etiquetas de marcado XML ordinarias. Talos ha identificado correos electrónicos maliciosos con archivos adjuntos HTML con imágenes SVG codificadas que a su vez contienen etiquetas HTML <script>. Incluir etiquetas de script dentro de una imagen SVG es una característica legítima de SVG”, se lee en el análisis publicado por Talos. “Desafortunadamente, los atacantes están abusando de esta característica para contrabandear JavaScript en la computadora de la víctima. Los atacantes confían en el hecho de que la mayoría de los navegadores web decodificarán y ejecutarán felizmente este JavaScript como si fuera una parte estándar del HTML del documento.
El JavaScript incrustado en la imagen SVG contiene un archivo zip malicioso y, a continuación, JavaScript ensambló el malware en el dispositivo del usuario final. La carga útil de malware se ensambla directamente en la máquina de la víctima y no se transmite a través de la red, por esta razón, esta técnica de contrabando de HTML puede eludir la detección por parte de los dispositivos de seguridad.
El malware QBot se propaga a través de mensajes de phishing, la amenaza es capaz de secuestrar el correo electrónico de una víctima y enviarse como respuesta a un hilo de correo electrónico existente.
Los correos electrónicos usan un archivo adjunto HTML, y cuando el destinatario lo abre, el código JavaScript de contrabando dentro de la imagen SVG inicia el ataque. El script crea un archivo zip malicioso protegido por contraseña y, a continuación, presenta al usuario un cuadro de diálogo para guardar el archivo. La contraseña se incluye en los datos adjuntos HTML.
Si el destinatario introduce la contraseña proporcionada por el atacante y abre el archivo zip, puede extraer un archivo .ISO. El archivo .iso permite infectar a la víctima con el malware Qakbot.
“Dado que el contrabando de HTML puede eludir las defensas de red tradicionales, es fundamental implementar algún tipo de protección de seguridad en los puntos finales de su entorno. Tener una protección sólida de endpoints puede evitar la ejecución de scripts potencialmente ofuscados y evitar que los scripts inicien contenido ejecutable descargado. La seguridad de endpoints también puede aplicar reglas sobre qué ejecutables se confía para ejecutarse en su entorno”, concluye el informe.
