Categories: CybersicherheitVirus

Angreifer schleusen QBot-Malware per SVG-Dateien in Windows-Systeme ein

Forscher von Cisco Talos haben eine neue Phishing-Kampagne aufgedeckt, um die Malware QBot zu verbreiten. Die Hintermänner nutzen dabei eine HTML-Smuggling genannte Technik: Ein Dateianhang im HTML-Format erlaubt es, in JavaScript versteckte Malware einzuschleusen. Der JavaScript-Code wiederum wird in diesem Fall in SVG-Dateien versteckt.

Wird das an eine Phishing-E-Mail angehängte HTML-Dokument geöffnet, wird der enthaltene JavaScript-Code dekodiert und ausgeführt. Bei der aktuellen Kampagne wurde ein Installer für QBot in Base64 kodiert und in eine SVG-Datei eingebettet. QBot wird benutzt, um Ransomware oder Angriffswerkzeuge wie Cobalt Strike oder Brute Ratel herunterzuladen.

Die Technik erlaubt es Bedrohungsakteuren, Sicherheitsanwendungen und Firewall zu umgehen, da der eigentliche Schadcode in einer anscheinend harmlosen Grafikdatei im SVG-Format versteckt ist. Das SVG-Format bietet Hackern den Vorteil, dass es XML-basiert ist und HTML-Tags enthalten kann. Um den Schadcode auszuführen, muss die SVG-Datei über die Tags Embed oder Iframe geladen werden, die eigentlich für die Anzeige der Grafikdatei verantwortlich sind.

Die Cisco-Forscher fanden bei der Untersuchung des JavaScript-Codes in der SVG-Datei eine Funktion, die eine enthaltene JavaScript-Variable “Text” in einen Binary Blob umwandelt. Eine weitere Funktion konvertierte den Blog anschließend in eine Zip-Archiv. “In diesem Fall enthält das in das SVG-Bild eingeschleuste JavaScript das gesamte bösartige Zip-Archiv, und die Malware wird dann von dem JavaScript direkt auf dem Gerät des Endbenutzers zusammengefügt”, teilte Cisco mit.

“Da die Nutzlast der Malware direkt auf dem Computer des Opfers erstellt und nicht über das Netzwerk übertragen wird, kann diese HTML-Schmuggeltechnik die Erkennung durch Sicherheitsgeräte umgehen, die bösartige Inhalte während der Übertragung filtern sollen”, ergänzten die Forscher. Zudem seit das Zip-Archiv passwortgeschützt, um eine Erkennung durch Sicherheitsanwendungen zu umgehen.

Cisco rät, für heruntergeladene Inhalte die Ausführung von JavaScript und auch VBScript zu unterbinden, um HTML-Smuggling-Angriffe abzuwehren.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Kälte smart geregelt

Dank cleverer KI-Lösung sparen die Stadtwerke Karlsruhe bis zu 40 Prozent Strom bei der Kälteerzeugung…

8 Stunden ago

Domain-Hijacking: Angriff auf verwaiste Assets

Die unberechtigte Übernahme von Domains durch Dritte kann ernstzunehmende Folgen für Markenführung, Cybersecurity und Business…

14 Stunden ago

Bundesland Schleswig-Holstein setzt auf Open Source

Landesverwaltung wendet sich konsequent von Microsoft ab und setzt künftig auf Open Source Software.

2 Tagen ago

Cybersicherheitssoftware: Der digitale Schutzschild für Unternehmen

In einer zunehmend digitalisierten Welt wird Cybersicherheit zu einer der zentralen Herausforderungen für Unternehmen aller…

2 Tagen ago

Kostengünstiger Schutz gegen Quantenangriffe?

Das Karlsruher Institut für Technologie hat ein Verfahren vorgestellt, das klassische Kryptografie-Verfahren und herkömmliche Hardware…

2 Tagen ago

Siemens investiert 5 Milliarden Dollar in US-Softwarehaus

Der Kauf von Dotmatics, Anbieter von F&E-Software, soll das PLM-Portfolio des Konzerns im Bereich Life…

2 Tagen ago