기술 지원
문서
로그인
문의하기
공격자는 HTML 스멀핑을 사용하여 QBot 멀웨어를 배포합니다.
2022년 12월 29일 TuxCare 홍보팀
Talos 연구원들은 최근 HTML 이메일 첨부 파일에 포함된 SVG(확장 가능한 벡터 그래픽) 이미지를 사용하여 QBot 멀웨어를 배포하는 피싱 캠페인을 발견했습니다.
기본적으로 이 공격의 피해자가 악성 이메일 첨부 파일을 받아 열면 브라우저는 포함된 스크립트를 디코딩하고 실행하여 악성 페이로드를 피해자의 디바이스에 직접 조립합니다.
HTML 스머핑은 정품 HTML5 및 JavaScript 기능을 사용하는 매우 기만적인 멀웨어 전달 기법입니다. 악성 페이로드는 HTML 첨부 파일 또는 웹 페이지에 암호화된 시퀀스 형태로 전송됩니다. 악성 HTML 코드는 이미 피해자 네트워크의 기업 방화벽 내에 있는 대상 디바이스의 브라우저 내에서 개발됩니다.
SVG 이미지는 JPEG 이미지와 달리 벡터 기반이므로 이미지 품질 저하 없이 크기를 늘릴 수 있습니다. 이러한 이미지는 XML로 제작되므로 위에서 언급한 HTML 내에 쉽게 배치할 수 있습니다.
자바스크립트가 실행되면 base64로 인코딩된 바이너리 덩어리가 포함된 하드코딩된 변수를 ZIP 아카이브로 변환하여 사용자에게 표시합니다. 바이러스 백신에 탐지되지 않도록 ZIP 파일은 비밀번호를 사용하지만 비밀번호는 사용자에게 표시되는 이미지에 포함되어 있습니다.
나머지 감염은 유사한 Qbot 감염 체인을 따르며, 바로 가기가 포함된 ISO 파일 또는 메인 Qbot DLL의 구현으로 정점을 이루는 체인을 구현하는 LNK 파일로 시작됩니다. 멀웨어 페이로드가 피해자의 브라우저에서 생성되기 때문에 공격자는 네트워크에 유입되는 악성 콘텐츠를 필터링하도록 설계된 기본 보안 탐지를 피할 수 있습니다.
HTML 스머징 페이로드에 SVG 파일을 포함시키는 것은 악성 페이로드를 더욱 난독화하여 탐지 가능성을 높이기 위한 것일 가능성이 높습니다. HTML 스머징 공격으로부터 시스템을 보호하기 위해 사용자는 브라우저에서 다운로드한 콘텐츠에 대해 JavaScript 또는 VBScript 실행을 차단하는 것이 좋습니다.
이 글의 출처는 BleepingComputer의 기사입니다.
