Angreifer verbreiten QBot-Malware durch HTML-Schmuggel

Talos-Forscher haben kürzlich eine Phishing-Kampagne aufgedeckt, die in HTML-E-Mail-Anhängen eingebettete Scalable Vector Graphics (SVG)-Bilder verwendet, um QBot-Malware zu verbreiten.

Wenn das Opfer dieses Angriffs den bösartigen E-Mail-Anhang erhält und öffnet, dekodiert sein Browser ein eingebettetes Skript und führt es aus, was dazu führt, dass eine bösartige Nutzlast direkt auf dem Gerät des Opfers zusammengestellt wird.

HTML-Schmuggel ist eine hochgradig betrügerische Technik zur Verbreitung von Malware, die sich echte HTML5- und JavaScript-Funktionen zunutze macht. Bösartige Nutzdaten werden in Form von verschlüsselten Sequenzen in einem HTML-Anhang oder einer Webseite übertragen. Der bösartige HTML-Code wird im Browser des Zielgeräts entwickelt, das sich bereits innerhalb der Unternehmensfirewall des Opfernetzes befindet.

SVG-Bilder sind im Gegensatz zu JPEG-Bildern vektorbasiert, d. h. ihre Größe kann ohne Beeinträchtigung der Bildqualität erhöht werden. Diese Bilder werden mit XML erstellt, wodurch sie leicht in den oben erwähnten HTML-Code eingefügt werden können.

Wenn das JavaScript ausgeführt wird, konvertiert es eine fest kodierte Variable, die einen base64-kodierten Binärklumpen enthält, in ein ZIP-Archiv und zeigt es dem Benutzer an. Um von Antivirenprogrammen nicht entdeckt zu werden, verwendet die ZIP-Datei ein Kennwort, das jedoch in dem dem Benutzer angezeigten Bild enthalten ist.

Der Rest der Infektion folgt einer ähnlichen Qbot-Infektionskette, beginnend mit einer ISO-Datei, die eine Verknüpfungsdatei (LNK) enthält, die eine Kette implementiert, die in der Implementierung der Haupt-Qbot-DLL gipfelt. Da die Malware-Nutzlast im Browser des Opfers erstellt wird, können die Angreifer grundlegende Sicherheitserkennungen umgehen, die bösartige Inhalte aus dem Netzwerk herausfiltern sollen.

Die Einbindung von SVG-Dateien in die HTML-Schmuggel-Nutzdaten dient höchstwahrscheinlich dazu, die bösartigen Nutzdaten weiter zu verschleiern und die Wahrscheinlichkeit einer Entdeckung zu erhöhen. Um Systeme vor HTML-Schmuggel-Angriffen zu schützen, sollten Benutzer die Ausführung von JavaScript oder VBScript für heruntergeladene Inhalte in Browsern blockieren.

Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.

Zusammenfassung

Artikel Name

Angreifer verbreiten QBot-Malware durch HTML-Schmuggel

Beschreibung

Eine Phishing-Kampagne verwendet in HTML-E-Mail-Anhängen eingebettete Scalable Vector Graphics (SVG)-Bilder, um QBot-Malware zu verbreiten.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers