Forscher von Cisco Talos haben eine neue Phishing-Kampagne aufgedeckt, um die Malware QBot zu verbreiten. Die Hintermänner nutzen dabei eine HTML-Smuggling genannte Technik: Ein Dateianhang im HTML-Format erlaubt es, in JavaScript versteckte Malware einzuschleusen. Der JavaScript-Code wiederum wird in diesem Fall in SVG-Dateien versteckt.
Wird das an eine Phishing-E-Mail angehängte HTML-Dokument geöffnet, wird der enthaltene JavaScript-Code dekodiert und ausgeführt. Bei der aktuellen Kampagne wurde ein Installer für QBot in Base64 kodiert und in eine SVG-Datei eingebettet. QBot wird benutzt, um Ransomware oder Angriffswerkzeuge wie Cobalt Strike oder Brute Ratel herunterzuladen.
Die Technik erlaubt es Bedrohungsakteuren, Sicherheitsanwendungen und Firewall zu umgehen, da der eigentliche Schadcode in einer anscheinend harmlosen Grafikdatei im SVG-Format versteckt ist. Das SVG-Format bietet Hackern den Vorteil, dass es XML-basiert ist und HTML-Tags enthalten kann. Um den Schadcode auszuführen, muss die SVG-Datei über die Tags Embed oder Iframe geladen werden, die eigentlich für die Anzeige der Grafikdatei verantwortlich sind.
Die Cisco-Forscher fanden bei der Untersuchung des JavaScript-Codes in der SVG-Datei eine Funktion, die eine enthaltene JavaScript-Variable “Text” in einen Binary Blob umwandelt. Eine weitere Funktion konvertierte den Blog anschließend in eine Zip-Archiv. “In diesem Fall enthält das in das SVG-Bild eingeschleuste JavaScript das gesamte bösartige Zip-Archiv, und die Malware wird dann von dem JavaScript direkt auf dem Gerät des Endbenutzers zusammengefügt”, teilte Cisco mit.
“Da die Nutzlast der Malware direkt auf dem Computer des Opfers erstellt und nicht über das Netzwerk übertragen wird, kann diese HTML-Schmuggeltechnik die Erkennung durch Sicherheitsgeräte umgehen, die bösartige Inhalte während der Übertragung filtern sollen”, ergänzten die Forscher. Zudem seit das Zip-Archiv passwortgeschützt, um eine Erkennung durch Sicherheitsanwendungen zu umgehen.
Cisco rät, für heruntergeladene Inhalte die Ausführung von JavaScript und auch VBScript zu unterbinden, um HTML-Smuggling-Angriffe abzuwehren.
Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…
Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…
DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).
Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.
IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.
IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…