Новости Cisco Talos: Троян Qakbot теперь распространяется внутри SVG-изображений

NewsMaker

I'm just a script
Премиум
13,858
20
8 Ноя 2022

В мире ИБ тоже есть контрабанда – через электронную почту и картинки.​


fbp9dh3kzv9whsnld7t0qd1bgd529sas.png


Исследователи кибербезопасности из Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся , что операторы Для просмотра ссылки Войди или Зарегистрируйся распространяют вредоносное ПО с помощью SVG-изображений, встроенных в HTML-вложения электронной почты.

Такой метод распространения называется Для просмотра ссылки Войди или Зарегистрируйся (Контрабанда HTML) — он использует функции HTML и JavaScript для запуска закодированного вредоносного кода, содержащегося во вложении-приманке, и доставки полезной нагрузки на компьютер жертвы.


content-img(952).png

Цепочка атаки В цепочке атак JavaScript-сценарий вставляется внутрь SVG-изображения и выполняется, когда получатель письма запускает HTML-вложение. После запуска скрипт создаёт вредоносный ZIP-архив и предоставляет пользователю диалоговое окно для сохранения файла.

ZIP-архив также защищен паролем, который отображается в HTML-вложении, после чего извлекается ISO-образ для запуска трояна Qakbot.


content-img(953).png

Процесс заражения Qakbot Как сообщили Для просмотра ссылки Войди или Зарегистрируйся , Qakbot собирает широкий спектр информации профиля с зараженных систем, включая сведения о всех настроенных учетных записях пользователей, разрешениях, установленном программном обеспечении, запущенных службах и пр.
 
Источник новости
https://www.securitylab.ru/news/535285.php

Похожие темы