기술 지원
문서
로그인
문의하기
Talos 연구원들은 최근 HTML 이메일 첨부 파일에 포함된 SVG(확장 가능한 벡터 그래픽) 이미지를 사용하여 QBot 멀웨어를 배포하는 피싱 캠페인을 발견했습니다.
기본적으로 이 공격의 피해자가 악성 이메일 첨부 파일을 받아 열면 브라우저는 내장된 스크립트를 디코딩하고 실행하여 피해자의 디바이스에 직접 악성 페이로드를 조립합니다.
HTML 스머글링은 정품 HTML5 및 JavaScript 기능을 사용하는 매우 기만적인 멀웨어 전달 기법입니다. 악성 페이로드는 HTML 첨부 파일이나 웹 페이지에 암호화된 시퀀스 형태로 전송됩니다. 악성 HTML 코드는 이미 피해자 네트워크의 기업 방화벽 내에 있는 대상 디바이스의 브라우저 내에서 개발됩니다.
SVG 이미지는 JPEG 이미지와 달리 벡터 기반이므로 이미지 품질 저하 없이 크기를 늘릴 수 있습니다. 이러한 이미지는 XML로 제작되어 위에서 언급한 HTML 내에 쉽게 배치할 수 있습니다.
자바스크립트가 실행되면 base64로 인코딩된 바이너리 덩어리가 포함된 하드코딩된 변수를 ZIP 아카이브로 변환하여 사용자에게 표시합니다. 바이러스 백신에 탐지되지 않도록 ZIP 파일은 비밀번호를 사용하지만 비밀번호는 사용자에게 표시되는 이미지에 포함되어 있습니다.
나머지 감염은 유사한 Qbot 멀웨어 감염 체인을 따르며, 바로 가기가 포함된 ISO 파일 또는 LNK 파일로 시작하여 메인 Qbot DLL의 구현으로 정점을 이루는 체인을 구현하는 것으로 시작됩니다. 멀웨어 페이로드가 피해자의 브라우저에서 생성되기 때문에 공격자는 네트워크에 유입되는 모든 악성 콘텐츠를 걸러내도록 설계된 기본 보안 탐지를 피할 수 있습니다.
HTML 스머징 페이로드에 SVG 파일을 포함하는 것은 악성 페이로드를 더욱 난독화하기 위한 것으로, 암호화 멀웨어 및 플러그엑스와 같은 다른 위협에서 볼 수 있는 수법으로 탐지 가능성을 높입니다. HTML 스머글링 공격으로부터 시스템을 보호하려면 Linux 멀웨어 및 광범위한 사이버 보안 자동화에 대한 논의에서 반영된 권장 사항인 JavaScript 또는 VBScript 실행을 차단하는 것이 좋습니다.
이 글의 출처는 BleepingComputer의 기사입니다.
