Les attaquants distribuent le malware QBot en utilisant la contrebande HTML
Les chercheurs de Talos ont récemment découvert une campagne de phishing qui utilise des images SVG (Scalable Vector Graphics) intégrées dans des pièces jointes d'e-mails HTML pour distribuer le malware QBot.
En fait, lorsque la victime de cette attaque reçoit et ouvre la pièce jointe du courriel malveillant, son navigateur décode et exécute un script intégré, ce qui entraîne l'assemblage d'une charge utile malveillante directement sur l'appareil de la victime.
La contrebande HTML est une technique de diffusion de logiciels malveillants très trompeuse qui utilise des fonctionnalités HTML5 et JavaScript authentiques. Les charges utiles malveillantes sont transmises sous la forme de séquences cryptées dans une pièce jointe ou une page web HTML. Le code HTML malveillant est développé dans le navigateur de l'appareil cible, qui se trouve déjà à l'intérieur du pare-feu d'entreprise du réseau de la victime.
Les images SVG, contrairement aux images JPEG, sont vectorielles, ce qui signifie que leur taille peut être augmentée sans compromettre la qualité de l'image. Ces images sont construites avec XML, ce qui leur permet d'être facilement placées dans le HTML mentionné ci-dessus.
Lorsque le JavaScript est exécuté, il convertit une variable codée en dur contenant un gros morceau binaire codé en base64 en une archive ZIP et l'affiche à l'utilisateur. Pour rester indétectable par les antivirus, le fichier ZIP utilise un mot de passe, mais celui-ci est inclus dans l'image présentée à l'utilisateur.
Le reste de l'infection suit une chaîne d'infection Qbot similaire, commençant par un fichier ISO contenant un fichier de raccourci, ou LNK, qui met en œuvre une chaîne aboutissant à l'implémentation de la DLL principale de Qbot. Comme la charge utile du malware est créée sur le navigateur de la victime, les attaquants peuvent éviter les détections de sécurité de base conçues pour filtrer tout contenu malveillant entrant sur le réseau.
L'inclusion de fichiers SVG dans les charges utiles de contrebande HTML est très probablement destinée à obscurcir davantage les charges utiles malveillantes et à augmenter la probabilité de détection. Pour protéger les systèmes contre les attaques de contrebande HTML, il est conseillé aux utilisateurs de bloquer l'exécution de JavaScript ou VBScript pour le contenu téléchargé sur les navigateurs.
Les sources de cet article comprennent un article de BleepingComputer.