Forscher von Cisco Talos haben eine neue Phishing-Kampagne aufgedeckt, um die Malware QBot zu verbreiten. Die Hintermänner nutzen dabei eine HTML-Smuggling genannte Technik: Ein Dateianhang im HTML-Format erlaubt es, in JavaScript versteckte Malware einzuschleusen. Der JavaScript-Code wiederum wird in diesem Fall in SVG-Dateien versteckt.
Wird das an eine Phishing-E-Mail angehängte HTML-Dokument geöffnet, wird der enthaltene JavaScript-Code dekodiert und ausgeführt. Bei der aktuellen Kampagne wurde ein Installer für QBot in Base64 kodiert und in eine SVG-Datei eingebettet. QBot wird benutzt, um Ransomware oder Angriffswerkzeuge wie Cobalt Strike oder Brute Ratel herunterzuladen.
Die Technik erlaubt es Bedrohungsakteuren, Sicherheitsanwendungen und Firewall zu umgehen, da der eigentliche Schadcode in einer anscheinend harmlosen Grafikdatei im SVG-Format versteckt ist. Das SVG-Format bietet Hackern den Vorteil, dass es XML-basiert ist und HTML-Tags enthalten kann. Um den Schadcode auszuführen, muss die SVG-Datei über die Tags Embed oder Iframe geladen werden, die eigentlich für die Anzeige der Grafikdatei verantwortlich sind.
Die Cisco-Forscher fanden bei der Untersuchung des JavaScript-Codes in der SVG-Datei eine Funktion, die eine enthaltene JavaScript-Variable “Text” in einen Binary Blob umwandelt. Eine weitere Funktion konvertierte den Blog anschließend in eine Zip-Archiv. “In diesem Fall enthält das in das SVG-Bild eingeschleuste JavaScript das gesamte bösartige Zip-Archiv, und die Malware wird dann von dem JavaScript direkt auf dem Gerät des Endbenutzers zusammengefügt”, teilte Cisco mit.
“Da die Nutzlast der Malware direkt auf dem Computer des Opfers erstellt und nicht über das Netzwerk übertragen wird, kann diese HTML-Schmuggeltechnik die Erkennung durch Sicherheitsgeräte umgehen, die bösartige Inhalte während der Übertragung filtern sollen”, ergänzten die Forscher. Zudem seit das Zip-Archiv passwortgeschützt, um eine Erkennung durch Sicherheitsanwendungen zu umgehen.
Cisco rät, für heruntergeladene Inhalte die Ausführung von JavaScript und auch VBScript zu unterbinden, um HTML-Smuggling-Angriffe abzuwehren.
Der aktuelle Threat Labs Report von Netskope zeigt die Hauptrisiken und enthüllt die wichtigsten Angreifergruppen.
Unternehmen sind branchenübergreifend auf biometrische Identifizierungssysteme angewiesen, um Zugänge möglichst sicher und komfortabel zu gestalten.
Bei der Qualitätssicherung generativer KI reichen herkömmliche Methoden nicht mehr aus. Da hilft nur eine…
Analyse von Webhosting-Dienstleister Hostinger: Microsoft, Meta und OpenAI verzeichnen die meisten gemeldeten Cyberattacken.
Mit SAP S/4HANA und Cloud-Technologien legt der Intralogistik-Spezialist Basis für eine zukunftsweisende IT-Architektur.
Automatisiertes Management von iPads sorgt für reibungslosen Betrieb sowie Sicherheit und verlässlichen Datenschutz.