攻擊者使用 HTML 走私分發 QBot 惡意軟體

Talos 研究人員最近發現了一個網路釣魚活動，該活動使用嵌入在 HTML 電子郵件附件中的可縮放向量圖形 （SVG） 圖像來分發 QBot 惡意軟體。

基本上，當這種攻擊的受害者獲得並打開惡意電子郵件附件時，他們的瀏覽器會解碼並執行嵌入式腳本，從而導致直接在受害者的設備上組裝惡意負載。

HTML走私是一種高度欺騙性的惡意軟體傳遞技術，它利用了真正的HTML5和JavaScript功能。惡意負載以加密序列的形式在 HTML 附件或網頁中傳輸。惡意 HTML 代碼是在目標設備上的瀏覽器中開發的，該瀏覽器已經在受害者網路的公司防火牆內。

與 JPEG 影像不同，SVG 圖像是基於向量的，這意味著可以在不影響圖像質量的情況下增加它們的大小。這些圖像是用XML構建的，這使得它們可以很容易地放置在上面提到的HTML中。

當 JavaScript 運行時，它會將包含base64編碼二進位塊的硬編碼變數轉換為 ZIP 存檔，並將其顯示給使用者。為了不被防病毒軟體檢測到，ZIP 檔使用密碼，但密碼包含在呈現給使用者的圖像中。

感染的其餘部分遵循類似的Qbot感染鏈，從包含快捷方式或LNK檔的ISO檔開始，該檔實現了一個鏈，最終實現主Qbot DLL。由於惡意軟體有效負載是在受害者的瀏覽器上創建的，因此攻擊者可以避免旨在過濾掉進入網路的任何惡意內容的基本安全檢測。

在 HTML 走私有效負載中包含 SVG 檔很可能是為了進一步混淆惡意負載並增加檢測的可能性。為了保護系統免受HTML走私攻擊，建議使用者阻止JavaScript或VBScript執行瀏覽器上下載的內容。

這篇文章的來源包括 BleepingComputer上的一篇文章。

總結

文章名稱

攻擊者使用 HTML 走私分發 QBot 惡意軟體

描述

網路釣魚活動正在使用嵌入在 HTML 電子郵件附件中的可縮放向量圖形 （SVG） 圖像來分發 QBot 惡意軟體。

作者

奧班拉·奧佩耶米

發行者名稱

燕尾服護理

發行者徽標