在野外發現了一種不尋常的網絡釣魚技術,將空的 SVG 文件隱藏在偽裝成 DocuSign 文檔的 HTML 附件中。
電子郵件安全提供商 Avanan 的安全研究人員將其命名為“空白圖像”。他們解釋說,這種攻擊允許網絡釣魚行為者逃避重定向 URL 的檢測。
網絡釣魚活動
發送給潛在受害者的網絡釣魚電子郵件聲稱是來自 DocuSign 的文件,被廣氾濫用的品牌,因為許多接受者在他們的辦公室工作中熟悉它。
受害者被要求查看並簽署名為“Scanned Remittance Advice.htm”的已發送文件。
HTML 文件 在網絡釣魚參與者中很受歡迎,因為他們通常會被電子郵件安全產品忽略,因此更有可能到達目標的收件箱。
如果受害者點擊“查看已完成的文檔”按鈕,他們將被帶到真正的 DocuSign 網頁。但是,如果他們試圖打開 HTML 附件,就會激活“空白圖像”攻擊。
SVG走私代碼
HTML 文件包含我們編碼的 SVG 圖像使用嵌入的 JavaScript 代碼使用 Base64 編碼格式,自動將受害者重定向到惡意 URL。
SVG 圖像不包含任何圖形或形狀,因此它不會在屏幕上呈現任何內容。它的作用只是惡意腳本的佔位符。
值得注意的是,在包含 base64 混淆代碼的 HTML 中使用 SVG 文件並不新鮮。在 2022 年 12 月投放 Qbot 惡意軟件的惡意垃圾郵件。
與 JPG 和 PNG 等光柵圖像不同,SVG 是基於 XML 的矢量圖像,可以包含 HTML 腳本標籤。當 HTML 文檔通過 或 標籤顯示 SVG 圖像時,將顯示圖像並執行其中的 JavaScript。
在 Avanan 研究人員發現的以 DocuSign 為主題的活動中,SVG 是空的。受害者在他們的屏幕上看不到任何東西,但 URL 重定向代碼仍在後台運行。
“這是一種混淆消息真實意圖的創新方法。它繞過 VirusTotal,甚至不會被傳統的“點擊時間保護”掃描。通過層層混淆,大多數安全服務都無法抵禦這些攻擊。” - 阿凡納
用戶應謹慎對待其中包含 HTML 代碼和 .HTM 附件的電子郵件。 Avanan 還建議管理員應該考慮阻止他們。
如若转载,请注明出处:https://www.ozabc.com/it/534012.html