Los atacantes distribuyen el malware QBot mediante contrabando de HTML
Los investigadores de Talos han descubierto recientemente una campaña de phishing que utiliza imágenes Scalable Vector Graphics (SVG) incrustadas en adjuntos de correo electrónico HTML para distribuir el malware QBot.
Básicamente, cuando la víctima de este ataque recibe y abre el archivo adjunto del correo electrónico malicioso, su navegador descodifica y ejecuta un script incrustado, lo que resulta en el montaje de una carga maliciosa directamente en el dispositivo de la víctima.
El contrabando de HTML es una técnica de distribución de malware muy engañosa que hace uso de funciones genuinas de HTML5 y JavaScript. Las cargas maliciosas se transmiten en forma de secuencias cifradas en un archivo adjunto HTML o en una página web. El código HTML malicioso se desarrolla en el navegador del dispositivo de destino, que ya se encuentra dentro del cortafuegos corporativo de la red de la víctima.
Las imágenes SVG, a diferencia de las JPEG, están basadas en vectores, lo que significa que su tamaño puede aumentarse sin comprometer la calidad de la imagen. Estas imágenes se construyen con XML, lo que permite colocarlas fácilmente dentro del HTML antes mencionado.
Cuando se ejecuta el JavaScript, convierte una variable codificada que contiene un bulto binario codificado en base64 en un archivo ZIP y lo muestra al usuario. Para no ser detectado por los antivirus, el archivo ZIP utiliza una contraseña, pero esta se incluye en la imagen que se presenta al usuario.
El resto de la infección sigue una cadena de infección de Qbot similar, que comienza con un archivo ISO que contiene un archivo de acceso directo, o LNK, que implementa una cadena que culmina con la implementación de la DLL principal de Qbot. Dado que la carga útil del malware se crea en el navegador de la víctima, los atacantes pueden evitar las detecciones básicas de seguridad diseñadas para filtrar cualquier contenido malicioso que entre en la red.
Lo más probable es que la inclusión de archivos SVG en la carga útil de contrabando HTML tenga por objeto ofuscar aún más las cargas útiles maliciosas y aumentar la probabilidad de detección. Para proteger los sistemas de los ataques de contrabando de HTML, se recomienda a los usuarios bloquear la ejecución de JavaScript o VBScript para los contenidos descargados en los navegadores.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.