روش جدیدی برای هک بوسیله فایل های SVG برای انتقال بدافزار QBot به سیستم های ویندوز شناسایی شده است.
هک بوسیله فایل های SVG روش جدیدی برای انتقال بدافزار QBot است.
این روش هک بوسیله فایل های SVG به اینصورت است که با استفاده از عملیات فیشینگ و بکارگیری بدافزار Qakbot از تصاویر Scalable Vector Graphics (SVG) استفاده شده در درون فایل های HTML در پیوست های ایمیل استفاده می شود.
این روش توزیع جدید توسط Cisco Talos شناسایی شد. در این روش پیامهای ایمیل جعلی حاوی پیوستهای HTML با تصاویر SVG رمزگذاریشده که دارای تگ های HTML هستند بکار گرفته شده است.
استفاده از فایل های HTML تکنیکی است که می توان بوسیله آن برخی از ویژگی های فایل های HTML و جاوا اسکریپت را برای اجرای کدهای مخرب رمزگذاری شده درون پیوست های ایمیل و بر روی دستگاه قربانی اجرا کرد. همچنین از درخواست HTTP برای دریافت بدافزار از یک سرور راه دور استفاده نمود.
به عبارت دیگر هدف این است که یک کد باینری را در قالب یک کد جاوا اسکریپت ذخیره نماید. پس از باز کردن آن بوسیله مرورگر وب، آن را دانلود و رمزگشایی نماید. تا بتواند بدینوسیله از سد سپر ایمنی درگاه ایمیل عبور کند.
روند زنجیره ای این حمله و موضوع هک بوسیله فایل های SVG توسط شرکت های امنیت سایبری در حال بررسی است. این حملات مربوط به یک اسکریپت جاوا اسکریپت است که در داخل تصویر SVG مخفی شده و زمانی اجرا می شود که گیرنده ی ایمیل، پیوست فایل HTML را باز کند.
دو پژوهشگر امنیت سایبری آدام کاتز و جیسون شولتز دریافتند که “وقتی قربانی پیوست HTML را در ایمیل خود باز می کند، کد جاوا اسکریپت مخفی شده در داخل تصویر SVG اجرا می شود و یک فایل ZIP مخرب ایجاد می کند و سپس یک کادر محاوره ای برای ذخیره فایل به کاربر نشان می دهد.”
فایل ZIP دارای رمز عبور است و کاربر را ملزم به وارد نمودن رمز عبوری می کند که در پیوست HTML نمایش داده شده است و پس از آن یک فایل ISO برای اجرای تروجان Qakbot استخراج می شود.
این یافته ها در حالی بدست آمده است که تحقیقات اخیر Trustwave SpiderLabs نشان می دهد که حملات بوسیله فایل های HTML تبدیل به یک اتفاق رایج شده است. بطوریکه تا سپتامبر 2022 فایل های HTML (11.39٪) و HTM (2.7٪) و فایل های تصاویر JPG (25.29٪) بیشترین نوع پسوند فایل هایی هستند که در این نوع حملات در پیوست های ایمیل از آن ها استفاده شده است.
پژوهشگران امنیت سایبری معتقدند که داشتن یک سپر ایمنی قوی روی سیستم کاربران میتواند از دانلود و اجرای اسکریپتهای مخرب از منابع ناشناس جلوگیری کند.
تکنیک دور زدن فیلترهای اسکن محتوا و سپر ایمنی در ایمیل ها برای انتقال فایل های HTML مخرب توسط هکرها بطور فزاینده ای مورد استفاده قرار می گیرد.
منابع:
Thehackernews
Trustwave
Talosintelligence